Documentos TV - Ojo con tus datos

El pasado domingo por la noche se emitió el reportaje de Documentos TV titulado "Ojo con tus datos" en el que participé junto a muchos otros. El documental, de más de 55 minutos, recorre los problemas con la aplicación de la LOPD, el Derecho al Olvido, el Big Data y los problemas de seguridad con la pérdida de los mismos. En él yo participo con temas como el de sufrir un robo de identidad por publicar tu DNI en el emule, y hago un ejemplo de hacking con buscadores haciendo dorking con Robots.txt, Google y Archive.org.

Figura 1: Documentos TV - Ojo con tus datos

En esta ocasión la grabación fue durante un mismo día, donde primero hice la entrevista y luego vinieron a verme participar en una conferencia de la Universidad Europea de Madrid en la que participaban también compañeros de profesión. El documental está muy bien construido y toca los temas con seriedad y muchos ejemplos. La verdad es que merece la pena que pierdas una hora viéndolo y reflexionando sobre algunos de los casos que se explican en él. He de decir que el documental se centra mucho en Google, pero quizá debería marcar que estos problemas son extensibles a muchos otros buscadores y sitios web en Internet.

Saludos Malignos!

Cae red de "Hackers" cibercriminales dedicada al carding

Ayer la noticia del día en todas las cadenas de televisión españolas fue la detención de una banda de cibercriminales - permitidme que evite usar el término hacker en el cuerpo de la noticia a pesar de que en todas las cadenas se alegaba explícitamente a "hackers" y no cibercriminales -. La banda se dedicaba a robar dinero de los cajeros automáticos haciendo carding de tarjetas de crédito VISA y MasterCard.

Cae la rama española de una red de "crackers"

Figura 1: Vídeo de la noticia en RTVE

No se especificaba exactamente de donde se sacaban los datos de las tarjetas, pero lo más llamativo de todo el proceso era que el "líder" de la banda, un cibercriminal alemán, se encargaba de distribuir los números de las tarjetas de crédito a los miembros de su red de extracción de dinero que se encuentran distribuidos por múltiples países. La estructura de personas distribuida por diferentes países se había montado para sacar el dinero de los cajeros del lugar de dónde es cada tarjeta robada de forma rápida. Es decir, el "líder" decía a la red de personas en España: "Usad esta tarjeta de crédito, que no tiene límite".

Hasta el momento nada había llamado mi atención, pero cuando escuché que decían lo de que el "lider" informaba de que había quitado los límites de la tarjeta, entonces sí que me llamó la atención. Tras indagar un poco más, parece que habían conseguido vulnerar la seguridad de dos empresas dedicadas al procesamiento de tarjetas de crédito, para desde sus sistemas quitar los límites de las tarjetas.

Esto es un ataque dirigido en toda regla que da un paso más en la estructura del carding y el fraude online, ya que no sólo buscaban utilizar personas en las ubicaciones físicas de los dueños de las tarjetas y así evitar los sistemas de seguridad basados en perfiles de localización de uso, sino que lo hacían con tarjetas que preparaban previamente mediante un ataque informático a unos elementos fundamentales del sistema de tarjetas de crédito como son las procesadoras de tarjetas.

Por supuesto, las empresas procesadoras de tarjetas no solo tienen que cumplir la famosa PCI DSS de la que os hablaba el otro día, sino que además están sujetas a muchas más certificaciones de seguridad, y aún así, parece que alguien había dado con un camino para meterse en sus sistemas y cambiar los límites de las tarjetas.

Cuando nosotros creamos Latch pensamos poder añadir una capa de protección en un esquema de ataque a tarjetas de crédito como este, donde el dueño de una tarjeta de crédito pudiera poner OFF su tarjeta cuando no la quiere en uso, y detectar cualquier utilización fraudulenta de la misma recibiendo una alerta, por eso ya estamos trabajando desde hace algún tiempo con varias instituciones bancarias para poner en pruebas este sistema en tarjetas de crédito y hacer del usuario un aliado más poderoso en la lucha contra el carding. Puedes probar el sistema con nuestro banco ficticio "Nevele Bank".

Saludos Malignos!

Proteger WordPress frente ataques de fuerza bruta

En mi trabajo estoy encargado de gestionar varios sistemas Wordpress con las distintas páginas web de la empresa en que trabajo, y allí vivo bajo la alerta de miles de ataques de fuerza bruta automatizados que últimamente está sufriendo la página de login de este sistema. Es por ello que decidí implantar, ya hace tiempo, el un plugin que limita los intentos de login y te envía un e-mail cada cierto número de bloqueos que se definen en la configuración.

En los ataques basados en fuerza bruta, los avisos que llegan son habitualmente intentos a usuarios por defecto de este tipo de sistemas, como admin, administrator o root... hasta que un día me encontré la desagradable sorpresa de que uno de los ataques ya había acertado con mi usuario válido. En ese momento decidí, por si alguno de ellos llegaba a tener suerte con mi contraseña, instalar el plugin de Latch para Wordpress y evitar problemas. Así, aunque alguien lograra dar con ella no podría entrar nunca en el sistema sin mi aprobación.

Figura 1: SDKs y Plugins de Latch. El plugin de WordPress es el primero.

Me puse a investigar cómo habían averiguado mi nombre de usuario y me sorprendió que no me hubiera fijado antes en esto. En aquel entonces no lo sabía, pero tras leer un poco ahora ya sé que es una debilidad conocida desde hace mucho tiempo, y que incluso muchos scanners automatizan la búsqueda de los usuarios de WordPress por defecto, como WPScan. Tras horas de búsquedas por la red no encontré información específica de cómo poder resolverlo, y parece que es algo que se asume por casi todo el mundo como una "feature".

Figura 2: Opciones de enumeración de usuarios en WordPress con WPScan 

El problema ya fue publicado por aquí hace tiempo en el artículo que se tituló "Regístrate en WordPress y evalúa su seguridad". Se trata de llamar por URL a la variable “author” y buscar el “id” manualmente comenzando por 1 y así sucesivamente para ver a qué nombre de usuario redirige y qué nombre de usuario aparece en el campo title de la página destino.

Figura 3: ?author=1 redirige a /author/admin

Cualquier usuario con privilegios de administrador normalmente estará entre los diez primeros, por lo que serán esos los que habrá que usar para hacer los ataques de fuerza bruta. El que puedan averiguar los nombres de los usuarios puede ser utilizado también para hacer ataques basados en contraseñas fijas y variaciones de usuarios, lo que me preocupaba bastante.

En primer lugar pensé que con cambiar el “alias” en la configuración de usuarios de WordPress - ya que el sistema asigna por defecto para el alias el mismo nombre del usuario del login dejándonos vendidos - bastaría para engañar a los malos que usen este tipo de scanners.

Figura 4: Alias cambiado a admin para ocultar el nombre de usuario administrador

Nada más lejos de la realidad. Después de poner un alias engañoso - lejos de este común "admin" - para el usuario válido administrator, comprobé que sí que se muestra en el title de la web el nuevo alias falso, pero no en la dirección URL, que sigue saliendo el usuario con el que se efectúa el proceso de login.

Figura 5: Cambiar el alias cambia el title pero no la URL

Después de mucho buscar y probar cosas como bloquear desde el fichero .htaccess, modificar código fuente del propio motor de WordPress, etcétera... Ninguna solución era efectiva y funcional, hasta que me di cuenta de que modificando un campo de la tabla “users” en la base de datos que utiliza el motor WordPress se solucionaba el problema. Antes de ponerme a intentar solucionar este problema ni me había fijado en que estaba ahí ypor supuesto no podría conocer para que se podía utilizar. Dicho campo es el “user_nicename”, es decir, el "nombre bonito" para un usuario.

Figura 6: Establecimiento de user_nicename a un userfalso

Con solo este cambio en la base de datos es posible solucionar la forma con la que nuestros WordPress muestran por defecto los nombres de usuarios. Si ahora hacemos la misma prueba, obtendremos que en el title aparece el alias, mientras que en la URL se puede ver en nicename del usuario.

Figura 7: Se ha conseguido ocultar el nombre de usuario en el title y en la URL

Tal vez existan otras soluciones, pero no me ha sido fácil encontrarla. Esta solución funciona perfectamente y me ha permitido que los últimos ataques de fuerza bruta no me afecten. Espero que  os sirva a todos los que no conocíais esta solución, y os evite unas horas trasteando como tuve que estar yo.

Si te sirve de algo mi experiencia, dedica tiempo a fortificar tu Linux, revisa los detalles de seguridad tu Apache, actualiza tu WordPress a la última versión y ponle pocos plugins que luego aparecen los bugs de XSS o CSRF a la mínima que te descuidas - protege también el listado de los plugins que tienes instalados -, pon un plugin que te alerte de los ataques de fuerza bruta  , activa Latch y pon un bonito nombre a tus usuarios de WordPress.

Saludos!
Autor: Oscar Mogarra Hita

Un nuevo look para Chema Alonso

Eran muchos los años que he pasado con una imagen muy concreta: pelo largo, gorro de rayas, camisetas de colores de manga larga, camiseta negra con logos molones, pantalones vaqueros y zapatillas casual deportivas - y a veces sin afeitar -. Han sido muchos años con esa imagen, pero ha llegado el momento de cambiar. Desde que entré a trabajar en Eleven Paths sabía que debía cambiar definitivamente esa imagen.

Figura 1: Con mi antigua imagen

Tras varias conversaciones con mis jefes Matthew Key y José María Álvarez Pallete, accedí a entender las duras normas de protocolo a las que me tenía que enfrentar, pero pedí que me dejaran hasta fin de año para cambiar esa imagen. El pasado Innovation Security Day fue el último evento en el que pude llevar esa imagen... que ya ha llegado a su fin.

Figura 2: Nuevo perfil de LinkedIN de Chema Alonso

Durante esta semana he ido a realizarme un book de fotos para poder usarlas en mis perfiles así que ya he actualizado los perfiles de mis redes sociales, como mi perfil en Linkedin, Facebook, Twitter  o Google+.

Figura 3: Nuevo perfil de Twitter de Chema Alonso

Sé que muchos me habéis identificado con la imagen anterior con ese gorro al que le dediqué incluso una evocadora historia en la que me acompañaba hasta mis últimos y fríos días llenos de Alzheimer en un asilo, pero hay que mirar al futuro y dejar atrás lo viejo para dar la bienvenida a nuevos retos.

Figura 4: Nuevo perfil de Facebook de Chema Alonso

Por supuesto, mi nuevo rol laboral tampoco me permitirá seguir dando conferencias de hacking en eventos como RootedCON, NCN, DefCON, EkoParty o similares, ya que tengo que cumplir con nuevas normas de comunicación que van por otros derroteros. Eso sí, yo seguiré escribiendo en El lado del mal, no os preocupéis.

Saludos... ¿malignos?

Domingo 29: Documentos TV "¡Ojo con tus datos!"

Hoy ando un poco mal de tiempo, ya que en Eleven Paths estamos montando un nuevo Latch-Server para dar soporte a nuevos plugins, así que os voy a dejar una referencia para el próximo programa de Documentos TV titulado "Ojo con los datos" en el que participo unos minutos y que se va a emitir el próximo Domingo 29 de Diciembre a las 23:20 por La 2 de TVE.

Si estás fuera de España, podrás verlo por Internet desde la siguiente URL: Documentos TV en Directo. Como es habitual en estos casos no lo he visto, pero he decir que tiene buena pinta el vídeo de promoción que se ha publicado del mismo, y donde sale un montón de caras populares de por aquí. No te lo pierdas.

Figura 1: Documentos TV "Ojo con tus datos"

Y por si no os creéis que estamos montando el Latch-Server en Eleven Paths, y pensáis que estoy vago, comiendo, bebiendo y durmiendo como un lechón para engordar más que el último josemaricariño que os publiqué, os dejo la foto del Latch-Server en la oficina.

Figura 2: Nuevo Latch-Server Amstrad CPC 6128 con TV, Radio y Joystick

Se aprecia claramente que es un server in-house y no en cloud, ya que de momento el server is on the desk. ¿A cuántos de vosotros se os ha caído una lagrimilla pensando en las horas que habéis echado con uno como este?

Saludos Malignos!

Carding básico: ¡Ojo con dónde metes tu tarjeta de crédito!

Durante este año conocí a un ex-carder en una conferencia de hacking con el que pasé unos minutos muy interesantes hablando de cómo decidió dejar todo aquel mundo y de lo fácil que era volverse un adicto a esa forma de vida en la que se tira de dinero fácil cuando es necesario. El objetivo suyo no era acceder a números y datos de tarjetas de crédito utilizando los habituales skimmers, es decir, los aparatos que se utilizan para clonar las tarjetas que pasan físicamente por cualquier cajero o punto de venta, si no sacarlas de bases de datos de aplicaciones web de tiendas online, o incluso las redes sociales, que ya vimos que hay algunos tan confiados que las publican en su Twitter.

Figura 1: Tarjeta VISA publicada en Twitter

Cuando se compra a través de un sitio de e-commerce, lo habitual es que se utilice una pasarela de cobros de tercero para que el portal de venta no tenga que preocuparse de gestionar las tarjetas de crédito de los clientes. Así, cuando hay que cobrar una operación, se invoca la web de pagos de una entidad bancaria o de Paypal, para que el cliente de toda la información de su tarjeta de crédito a la pasarela y no al e-commerce.

Esto para las tiendas online es lo más cómodo, pues se libra de tener que lidiar con el almacenamiento seguro de los datos de venta de los clientes y tener que cumplir certificaciones como Payment Card Industry Data Security Standard que fuerza a tener unas medidas de seguridad mínimas y a cumplir una serie de auditorías de cumplimiento del estándar periódicas.

El que una empresa cumpla el PCI DSS no tiene porque significar que el sitio sea 100% seguro, y no todos los e-commerce que piden datos de tarjetas de crédito para hacer transacciones económicas cumplen PCI DSS, así que a la hora de entregar los datos de tu tarjeta tienes que tener muy presente si se los estás entregando a una pasarela de cobros de una entidad bancaria o a Paypal, o si por el contrario se los estás entregando a aplicación web que va a meter los datos en una base de datos con más o menos seguridad.

En el último Black Friday - el viernes ese en que en Estados Unidos todas las compras tienen grandes descuentos - se habla de que se han podido robar 40.000.000 de números de tarjetas de crédito que podrían haber sido robadas de la base de datos de 1.500 tiendas minoristas de Target, según cuenta el New York Times, gracias a que se accedió a la base de datos donde se almacenaban.

Figura 2: Topics en un foro de Carding

Si un atacante logra vulnerar la seguridad de una aplicación web que almacena los datos de tarjetas de crédito con un simple SQL Injection, o consigue llegar a ella por un Connection String Parameter Pollution o subiendo una Webshell al servidor que no ha sido fortificado correctamente, se podrá llevar fácilmente un montón de datos de tarjetas de crédito que podrá utilizar por Internet. Si hablamos ya de ataques en clientes, los típicos phishing, los troyanos que se dedican al robo de identidad o el ejemplo del uso fraudulento de Autofill pueden permitir llegar también a los datos de las tarjetas de crédito.

El número de tarjetas de crédito que suelen quedar expuestos de ambas formas, es decir, o bien utilizando las clonadoras de tarjetas de crédito o bien robando los datos de bases de datos, puede ser muy alto, y es fácil encontrar tarjetas de crédito en venta en foros de la Deep Web, en foros de la web dedicados al carding que se anuncian en Internet con total tranquilidad, y hasta en sitios tan monitorizados como Pastebin. Para enseñar a la gente lo fácil que se puede acceder a datos de tarjetas basta con usar LeakedIn que ya tiene un filtro para las tarjetas de crédito y permite acceder a los últimos números filtrados.

Figura 3: A Tina, de Colorado, le han filtrado su VISA como regalo de Navidad

Hay que tener en cuenta que los equipos de seguridad que luchan contra el fraude de tarjetas de crédito están más que bien preparados, y han visto muchas cosas ya a lo largo de los años, así que mucho cuidado con hacer el gracioso que esos números que suelen aparecer en lugares tan mainstream están todos monitorizados por los servicios de ciberseguridad, e incluso muchos están marcados para trazar su uso y ganar inteligencia de uso.

A día de hoy, para evitar el uso fraudulento de tarjetas de crédito robadas se pueden utilizar muchas medidas de seguridad, como que las tarjetas tenga un Chip&PIN, que todas tengan un perfil de uso basado en cantidades, tipo de transacciones, localización física de su dueño, límites de compras y lugares habituales en las que son utilizadas. Todo eso ayuda a reducir el fraude con tarjetas de crédito, pero todavía los malos saben dónde quedan rendijas en las que se pueden utilizar.

Desde sitios donde las terminales están desconectados de Internet, límites de transacciones pequeños o compras online en lugares en los que la validación de la transacción para cantidades pequeñas es más relajada, lo que deja lugar a un uso de los datos robados. Especialmente son útiles en los entornos conocidos como Card Not Present, es decir, en aquellos en los que basta con introducir los datos de la tarjeta de crédito en una web de Internet o un terminal punto de venta o en países en los que aún calcan la tarjeta de crédito para rellenar los datos. "Siempre puedes regalar las bebidas para una fiesta a un amigo que necesita recaudar fondos para un proyecto bonito", me decía el ex-carder en una de las charlas más entretenidas que he tenido en tiempo.

En el mundo del Fraude Online los números de tarjetas de crédito siguen siendo un objetivo muy suculento, y es cierto que es común llegar a bases de datos que almacenan esta información, así que estas navidades ten cuidado donde introduces tu tarjeta de crédito o sácate una de esas virtuales para compras por Internet que puedas matar cuando acabes de fundirte tus fondos en regalos.

Saludos Malignos!

Haz que 2014 sea tu año

Normalmente todos los años suelo hacer una invitación navideña con Josemaricariño para enviar a los amigos que luego suelo dejar por aquí publicada. Este año, con el ajetreo de vida que llevo me olvidé de hacerlo y hoy cuando he tenido un minuto para darme cuenta de este detalle he pensado: "Esto no puede ser. Tengo que hacer la felicitación". Así que he buscado una libreta que tenía a mano, he cogido unos rotuladores, y os he hecho para todos vosotros esta felicitación navideña.

Figura 1: Josemaricariño os desea un 2014 lleno de proyectos ilusionantes

El dibujo está aún caliente - que acabo de terminarlo - y solo es una foto lo que podía hacer ahora mismo, pero que sirva para animaros en estas fiestas a que penséis en todas las cosas que queréis hacer el año que viene. Que toméis fuerzas, y que pase lo que pase durante el transcurso de los días, semanas y meses del año 2014, no perdáis ese foco. Seguid con la ilusión de terminar vuestros proyectos. No cejéis en el empeño de terminar todo lo que comencéis.

En mi época de universitario en la Escuela Universitaria de Informática de la UPM, mi compañero de clase de siempre y yo teníamos una frase que era ley para nosotros: "Si nos ponemos, nos ponemos". La idea era que si decidíamos que íbamos a hacer algo, dejarlo luego sin hacer no entraba en los planes.

Elige tú tus proyectos, tu camino, y síguelo en 2014. A veces, para sacar los proyectos hace falta dinero, a veces hacen falta recursos, pero otras muchas veces sólo es necesario voluntad de hacerlo. Ponte a ello y haz que 2014 sea tu año.

Saludos Malignos!

Latch está integrado en Recover Messages

Actualmente Recover Messages, el servicio en cloud de recuperación de mensajes borrados de WhatsApp, se encuentra integrado con Latch. A partir de ahora, cualquier usuario podrá añadir una protección extra a los ficheros de WhatsApp que suba y esté analizando, protegiendo con un Latch el acceso a su cuenta del servicio.

Figura 1: Latch en el perfil de usuario de Recover Messages

Para configurarlo basta con ir a la zona de Account y seleccionar el botón de Latch para que aparezca el lugar donde se introduce el Token Temporal de Pareado. El resto, es ir a la app de Latch para iPhone o para Android, solicitar un Token Temporal de Pareado en la app y ponerlo ahí.

Figura 2: Cuenta de Recover Messages en la app de Latch para iPhone 

Cuando la app esté pareada se podrá restringir el acceso a la cuenta e incluso configurar un modo nocturno o un acceso controlado por OTP seleccionando que la cuenta esté Unlock pero con OTP. El funcionamiento del sistema está descrito en el artículo de "Latch: Cómo proteger las identidades digitales".

Figura 3: Configuración de Latch en un servidor FTP con comandos Site

En el caso de Recover Messages la integración se ha hecho con el SDK de Latch para .NET que puedes encontrar y utilizar de forma gratuita desde el área de developer de Latch. Allí hay SDKs para .NET, Java, PHP, Python, Ruby o C. Algo similar a lo que hemos hecho en Recover Messages hizo Alejandro Ramos "dab" (@aramosf) en Security By Default para integrar Latch en un servidor FTP haciendo las conexiones con unos sencillos scripts en Bash.

Figura 4: Area developer de Latch que da acceso a SDKs y Plugins

Si quieres probar estas navidades Latch a nivel de usuario puedes hacerlo también con 0xWord siguiente este tutorial, con Nevele Bank o animarte y proteger tu cuenta de Acens. Actualmente hay más de 100 sitios ya conectados con Latch, y tu puedes conectar tu sitio web si tienes un WordPress, un Joomla, un Drupal, un DotNetNuke o un PrestaShop con unos cuantos clics.

Saludos Malignos!

Creepware: Fiarse del LED de la webcam es una mala idea

Son muchas las ocasiones en las que he manifestado por aquí que tapar la webcam es una buena idea para evitar problemas con grabaciones no deseadas. Hace ya unos años os hablé de esto por primera vez porque había ya varios foros en los que se compartían fotos de gente que había sido grabada con su webcam aprovechando las funciones que ofertan los R.A.T.s (Remote Administration Tools). Ahora, a los troyanos más especializados para este tipo de ciberespionaje se le empieza a conocer como Creepware.

Figura 1: RAT con posibilidad de grabar con la webcam

Son muchos los vídeos de botnets que hay publicados en YouTube en los que se ve a la gente grabada en sus hogares, por supuesto sin saber que están siendo grabados por nadie, como el que os dejé publicado en este artículo.

Figura 2: Botnet con gente siendo grabada sin su consentimiento

Cuando yo digo que hay que tapara la webcam algunos se echan las manos a la cabeza y piensan "eres un exagerado", pero lo cierto es que la cantidad de formas que han aparecido para activar la webcam y grabar a la gente es muy alta. El mismo Virus de la Policía utilizaba ese truco para convencer a los usuarios de que debían pagar. Realmente no era más que un truco de ingeniería social en las que el malware no enviaba los datos a ningún sitio, pero era más que suficiente para asustar a los infectados de que debían pagar.

Casos más significativos son los de expertos en seguridad que son grabados sin darse cuenta, como el ciber-espía ruso acusado desde la ex-república de Georgia de estar espiando en sus redes de datos y que fue grabado por su webcam utilizando el mismo exploit que él mismo utilizó para colarse.

Figura 3: Ciberespía ruso grabado con su Webcam

Los exploits existen, y los payloads para grabar con la webcam son un estándar ya. De hecho, los hay hasta con técnicas de ClickJacking como los que hemos visto con Adobe Flash Player y Google Chrome que permitían activar la webcam desde una página web.

Fiarse de que nunca vas a ser infectado y por tanto nunca te van a poder grabar es algo que no pasa por mi cabeza, ni mucho menos. Son muchos los casos de gente que ha sido grabada sin saberlo, como el de los vecinos del pedófilo que se colaba en sus redes WiFi, infectaba sus equipos y les grababa en su casa. Algo que pasó en la ciudad de Zaragoza, no hay que irse muy lejos.

Figura 4: Pedófilo espiaba a sus vecinos vía webcam

Pensar que no te vas a infectar es un error, pero si además toca tu equipo más gente aparte de ti, puede que incluso sea ese técnico de confianza tu mayor enemigo. No hace demasiado saltó la noticia de que un técnico de Mac se dedicaba a infectar los equipos de sus clientes y grabarles por la webcam.

Nunca sabes quién puede estar al otro lado de la webcam que te está apuntando, de hecho, yo le digo a la gente que no se fie de quién está detrás de la webcam, ni aunque lo vea por la webcam, ya que existen programas que sustituyen la imagen de la webcam por un vídeo pre-grabado que utilizan para ganarse la confianza de sus víctimas.

Figura 5: ManyCams permite poner vídeos en lugar de la webcam

Mi equipo tiene luz que me avisa de que se ha encendido la webcam

Sí, esa es una de las afirmaciones más comunes para no tapar la webcam. Sin embargo, yo no me acabo de fiar ni aún así. En primer lugar los LEDs de emergencia se pueden romper y no darte cuenta, pero aún suponiendo que no sea así, es posible que no siempre estés mirando al LED.

Figura 6: WebCam iSight en equipos Apple

En el caso del técnico de Mac que espiaba a sus clientes, en todos los casos se hablaba de sistemas con iSight de Apple, una cámara que tiene LED de alerta, pero la gente o no se daba cuenta, o pensaba que era cualquier tipo de malfuncionamiento y a quién iban a llamar era... justo a su técnico de Mac.

En los manuales de fortificación para Mac OS X que publica la agencia de espías norte-americana NSA también se habla de este tema, y en ellos se deja claro que lo que hay que hacer es deshabilitar la webcam de iSight y el micrófono también.

Figura 7: La NSA recomienda deshabilitar iSight por motivos de seguridad

Otro caso para el recuerdo es en el que el que acabó siendo espiado por la webcam no fue el dueño del equipo sino el posedor del su MacBook tras haber sido robado - es una de las historias del hall of shame de ladrones en modo #EPICFAIL -. En ese caso el R.A.T. en cuestión que se usó para grabar con la webcam fue Prey, un software de control remoto de equipos que instalan los dueños para poder localizarlo en caso de perdida. Como se puede ver en la foto, el tipo estaba durmiendo y por tanto no podía ver el LED de seguridad.

Figura 8: Este tipo tiene mi MacBook

En el mundo Apple, hay muchos expertos de seguridad que usan Mac, y baste la foto de Moxie Marlinskpike y su MacBook que publicó en Twitter, donde se puede ver como tiene la webcam tapada con una pegatina.

Figura 9: Equipo de MacBook de Moxie con la webcam tapada

¿Por qué? Pues porque al final, fiarse de que no se pueda desactivar esa luz por software es mucho fiarse. En el caso de Mac se ha publicado recientemente un paper titulado: iSeeYou: Disabling the MacBook WebCam Indicator LED en el que dos investigadores demuestran cómo es posible deshabilitar ese LED en equipos MacBook Pro e iMac anteriores al año 2008.

Figura 10: MacBook con la webcam encendida y el LED apagado

Esto es así, porque hasta ese momento los equipos MacBook tenían integrada una webcam iSight que se conectaba vía USB, y mediante una reprogramación del firmware para evitar el apagado cuando el equipo entra en suspensión y el envío de señales de StandBy por el canal USB, era posible hacer creer al LED de que el equipo estaba en suspensión para que se apagara, pero mientras la webcam continuaba funcionando.

¿Te puedes fiar de que en los sistemas de hoy en día no pueda hacerse?

Pues eso es mucho fiarse. Hace poco el Washington Post contaba la historia de cómo el FBI utilizaba troyanos para localizar a un terrorista llamado Mo, y cómo se había conseguido utilizar la webcam de la víctima sin activar el LED de aviso de uso de la misma.

Figura 11: Artículo del Washington Post en el que se habla del Creepware del FBI

Con esta misma idea, en Errata Security hacían una demo de cómo deshabilitar el LED en un equipo DELL con poner a cero el valor de la función TurnOnOffLED() en los drivers de la webcam, y se acabó para siempre el LED de alerta, o lo que es peor, queda al antojo del creepware deshabilitarlo cuando quiera.

Figura 12: Vídeo de Errata Security en el que se enciende la webcam de un DELL y se anula el LED

Yo personalmente he recibido mensajes de gente que ha sido víctima de este tipo de creepware y sufren extorsiones económicas a cambio de no publicar el material grabado. Uno de estos correos os lo dejo aquí.

Figura 13: Víctima de Creepware que contactó conmigo el 6 de Diciembre de este año

Después de todo esto, supongo que ya entenderéis por qué siempre le recomiendo a mis amigos y familiares que tengan la webcam tapada y por qué regalamos un iPatch en el lanzamiento de Latch. Tú haz lo que quieras, pero aquí te dejo el mensaje que te alerta de que tal vez el Creepware pueda apagar tu LED de alerta.

Saludos Malignos!

Cálico Electrónico: Tiras Deili Electrónico 82 a 87

Quedan solo 14 días para que acabe el proyecto de crowdfunding de Cálico Electrónico para hacer el Capítulo 3 de la Temporada 5. Nos quedan por repartir Dibujos y algún Pack Patrocinador  y esta vez hemos añadido alguna recompensa más, como el Paper Toy oficial de Cálico Electrónico. Además, e si quieres hacer una buena promoción de tu producto o empresa, con el Pack Patrocinador conseguiras una gran audiencia por solo 200 €. El último capítulo de Cálico Electrónico lleva cerca de 80.000 visionados en dos semanas.

Figura 1: Consigue el Paper Toy oficial de Cálico Electrónico en el crowdfunding

Y para que te eches unas risas este domingo, aquí os dejo más aventuras de Cálico Electrónico, Santa Claus, Donramon y Perchita en el periódico de Electronic City que ya todos conocéis: Deili Electrónico. Aquí van las tiras de cómic desde el número 82 al número 87.

Figura 2: Tiras Deili Electrónico 82 a 87

Las tiras anteriores las podéis ver en los siguientes posts o en la web de Deili Electrónico:

- Tiras Deili Electrónico [01 - 04]	- Tiras Deili Electrónico [05 - 08]
- Tiras Deili Electrónico [09 - 12]	- Tiras Deili Electrónico [13 - 16]
- Tiras Deili Electrónico [17 - 20]	- Tiras Deili Electrónico [21 - 24]
- Tiras Deili Electrónico [25 - 28]	- Tiras Deili Electrónico [29 - 32]
- Tiras Deili Electrónico [33 - 36]	- Tiras Deili Electrónico [37 - 40]
- Tiras Deili Electrónico [41 - 44]	- Tiras Deili Electrónico [45 - 48]
- Tiras Deili Electrónico [49 - 52]	- Tiras Deili Electrónico [53 - 56]
- Tiras Deili Electrónico [57 - 60]	- Tiras Deili Electrónico [61 - 62]
- Tiras Deili Electrónico [63 - 67]	- Tiras Deili Electrónico [68 - 71]
- Tiras Deili Electrónico [72 - 76]	- Tiras Deili Electrónico [77 - 81]

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que podrás descargar desde iTunes. Y sobre todo, si alguna vez te dio pena que Cálico Electrónico dejara de hacerse, este es el momento de apoyar al proyecto para hacer el nuevo capítulo y llevarte alguna de las fantásticas recompensas.

Figura 3: Los DaddyChulos para el capítulo 3 de la temporda 5 de Cálico Electrónico

Si esta Noche Buena no llega algún regalo a tiempo... ya sabéis que la culpa puede ser de estos dos, que en estas fechas siempre están trabajando para Santa Claus.

Figura 4: Cálico Electrónico - Mundo Cálico 27: Trabajo Navideño de Donramon y Perchita

Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico. 

Saludos Malignos!

Epílogo

Cuando las cosas se acaban, se acaban, y a este año ya le va tocando. Quedan solo unos días para que se acabe definitivamente y este año para mí han sido como tres o cuatro condensados en uno solo. Estamos ya en la parte de los libros que se destina al Epílogo, y yo suelo hacer balance de el año también en estas fechas. La cantidad de cosas que he hecho me han debido envejecer mucho más de lo que podría haber esperado a priori, pero me queda una sensación de satisfacción y alegría por dentro muy especial.

He intentado hacer resumen de este año en mi cabeza durante un par de días y no he sido capaz de encajar todas las piezas del puzzle para dotar de coherencia al discurrir de este periplo de trescientos sesenta y cinco días de mi vida. He intentado hacerlo por temática, por orden alfabético o por cualidad sensitiva. Pero es complejo separar los hilos de ese nudo gordiano cuando todo se conecta. Todo se entremezcla en una madeja de horas, minutos y segundos.

Como no sabía cómo hacerlo opté por resumir vida a partir del mejor diario de ella. Y por tanto he recordado lo que ha sido este año a base de releer las entradas que he ido escribiendo día a día en esta mi bitácora. Es fácil saber donde has estado, qué has hecho y cómo te has sentido, cuando lo has dejado escrito en algún sitio.

Este año 2013 lo comencé acelerado acabando cosas. Sabía que probablemente sería la última Gira Up To Secure así que me esforcé por hacer hueco en el calendario y cumplir con la tradición de visitar diez ciudades dando conferencias. En mi mente ya estaba el preparar el salgo a Telefónica, pero no quería acabar mal las cosas. Este año... no haré Gira Up To Secure 2014, y la echaré de menos.

También en enero comencé una nueva andadura con Recover Messages, el servicio que sirve para recuperar los mensajes borrados de WhatsApp con técnicas forenses. No pensábamos que fuera a tener tanto impacto, pero a día de hoy han sido más de 500.000 ficheros de WhatsApps los que ha procesado. Este servicio se completó más adelante con WhatsApp Anti-Delete Protection Tool y Facebook Recover, y seguramente siga creciendo en 2014.

Figura 1: Con Wardog en la RootedCON

En Febrero sacamos los últimos libros que aparecerían bajo el sello de Informática 64, ya que estábamos pensando en crear la nueva editorial que a la postre se llamaría 0xWord. Estos libros estuvieron listos para la RootedCON, donde por primera vez anuncié que sería la última vez que diera una charla desde Informática 64.

La RootedCON fue ya en Marzo, y aprovechamos para sacar la primera versión de Evil FOCA, la herramienta para hacer ataques man in the middle en redes IPv6, aunque en aquella primera versión solo tendría disponible un par de ataques.

Figura 2: Mi personaje en el capítulo "TMBA 2" de la Temporada 4 de Cálico Electrónico 

En el mes de Abril apareció el cómic con el Fin de Cálico Electrónico. Este año con el gordito hemos terminado la Temporada 4 y comenzado la temporada 5, además de recuperar todo el material antiguo, lanzar apps para casi todas las plataformas, generar tiras de cómics y hacer que la gente sepa que el héroe está de vuelta en la ciudad.

En Mayo ya estábamos enfrascados con el comienzo de Eleven Paths, pero mientras hacíamos la presentación en sociedad, yo tuve la oportunidad de leer mi doctorado y convertirme en el Doctor Maligno, además de lanzar públicamente la editorial 0xWord y los nuevos libros de la colección, entre los que había participado yo en alguno.

Figura 3: El lago del Distrito C de Telefónica que acompaña los paseos de edificio a edificio

Durante los meses anteriores había estado trabajando en convencer a la gente que quería que estuviera conmigo en Eleven Paths. Traerme a David Barroso, Palako, Antonio Guzmán, Sergio de los Santos, Olvido Nicolas, etc, etc, para hacer la presentación en sociedad en Junio de este año. En ese mes, ya teníamos claros los productos que a la postre lanzaríamos en Diciembre, e incluso el 24 de Junio ya teníamos la primera patente tecnológica de Latch.

Figura 4: En la radio, un día que vinieron los Goma Espuma

En el mes de Julio comenzó con la renovación como Microsoft MVP en Enterprise Security alcanzando la cifra de 10 años con el galardón. Además, el trabajo en Eleven Paths fue intenso y comenzamos a ultimar los detalles de Faast y MetaShield Protector, con las primeras implantaciones y puestas en producción.

En Agosto me dio para ir a la DefCON y aprovechar para celebrar el 50 aniversario de cumpleaños de Kevin Mitnick en unos días en Las Vegas en los que no fui capaz de dormir ningún día. Además, liberamos la Evil FOCA DefCON Edition.

Figura 5: Con Kevin Mitnick en la BlackHat 2012. Le tengo cariño a aquella conferencia.

El mes de Septiembre dio comienzo la quinta temporada de Cálico Electrónico y mi segunda temporada en el programa de radio con Javi Nieves y tuve además la posibilidad de visitar la Ekoparty y ver a muchos y buenos amigos latino-americanos para traerme a Claudio Caracciolo y convencer para que se viniera Dani Kachakil al equipo de Eleven Paths y comentar todos los escándalos de la filtraciones de Edward Snowden.

Figura 6: A punto de cantar en la Ekoparty 2013

En el mes de Octubre me centré en avanzar con Eleven Paths y con las integraciones de Latch que ahora os estoy contando, pero no me escapé de ir a eventos como GSICK Minds, CodeMotion y eventos varios, presentando ya los productos que estábamos desarrollando.

Figura 7: En la Codemotion hablando de SQL Injection.

Durante el mes de Noviembre me enfrasqué en terminar el libro de Pentesting con FOCA, además de grabar el programa de Salvados con Jordi Évole, y visitar países como Inglaterra, Holanda, Colombia y Perú para hablar de las tecnologías de seguridad que estábamos desarrollando. También tuve tiempo de seleccionar a mi nueva hornada de jóvenes Talentum para Eleven Paths.

Figura 8: Entrevistas en Colombia

En Diciembre teníamos el gran día del lanzamiento de Latch, Faast y MetaShield Protector, además de liberar la FOCA Final Version y destapar las integraciones de Latch con algunos sitos. Los días previos parecieron semanas en el Distrito C de Telefónica. Lo cierto es que al final se hizo, y que ya estamos acelerados a tope.

Figura 9: La foto tras el evento de lanzamiento en la fiesta de Telefónica

Ahora se acaba el año, pero antes me queda la clase de hoy en el Master de Seguridad de la UEM, corregir la PEC 3 de mis chic@s del Master de la UOC, hacer un par de intervenciones en la radio, acabar de cerrar un par de temas que os quiero contar en breve, tener unas reuniones este lunes que viene en Telefónica y escribir todos los días en el blog.

Se acaba el año. Y si no se acaba... acaba él conmigo. Como siempre, también me han pasado muchas cosas malas, he estado enfermo, he estado triste y a veces agobiado, pero al final, en esto consiste vivir, en que te pasen cosas buenas y malas hasta que ya no te pasa nada. Y os juro que cosas buenas me han pasado muchas.

Figura 10: Ready para el 2014

Me queda poco tiempo para descansar, pero cuando llegue el 2014 os prometo que voy a estar listo para pelearlo como lo hice en 2006, 2007, 2008, 2009, 2010, 2011 o 2012 - e incluso algún año antes -.

Saludos Malignos!