Charlas de hacking, un barrio rojo y un loco de pelo idem

Figura 1: No Lusers 172 - Hacking & Amsterdam

La primera vez que pisé Amsterdam fue con Microsoft cuando me nombraron Most Valuable Professional en seguridad hace ya diez años. En aquel entonces estaba asistiendo al Microsoft TechED Europe 2004 y descubrí una ciudad que está entre las primeras de mi lista. Volví al TechED también en 2005 y 2006, creo recordar, también a Amsterdam.

Fue sin embargo en 2008 cuando regresé para presentar el trabajo de BLIND LDAP Injection & LDAP Injection techniques in Web Applications en la BlackHat Europa de aquel año, en 2009 a presentar el paper de Disclosing Private Information using metadata, hidden info and lost data, y en la Hack in the box de 2012 a dar una charla de Pentesting Driven by FOCA.

A esto, hay que sumar que también he ido a dar alguna charla a otras conferencias, que he tenido varias reuniones de trabajo allí, y que he visitado la ciudad un buen número de veces solo por gusto. Es por eso que siempre que voy con alguien nuevo le digo en broma que soy el "official guide" de Amsterdam y les hago un tour por la ciudad, los bares y los garitos a visitar. I love Amsterdam.

Siempre pensé lo que he plasmado en ese No Lusers, pero en el fondo supongo que justo eso es por lo que tantas y tantas conferencias se hacen en Amsterdam, por lo bonita que es la ciudad, lo disfrutable que es a pie o en bicicleta, y la gran oferta cultural de esa ciudad por debajo del nivel del mar. 

Figura 2: Black Hat Europe 2014 se hará en Amsterdam

Black Hat Europe 2014 se hará en Amsterdam, así que si quieres vivir esa experiencia, o bien apúntate a las charlas, o envía el CFP que está abierto hasta el 9 de Junio de este año. Después, podrás pasear por el barrio rojo y conocer la ciudad con más densidad de museos en el mundo, ente los que está por supuesto, el Museo Van Gogh.

Saludos Malignos

Adware & Política: WiFi Hacker 2014 Pro y Foro Político

Tras la publicación del artículo de ayer, la persona detrás de todo el tinglado que os conté, comenzó a plegar velas... un poco. Primero borró su perfil en Linkedin, luego ha borrado muchas de las páginas webs de uno de sus dominios, y los usuarios y las apps maliciosas que había en Google Play han desaparecido una a una.

Que desaparezcan las apps no es raro, al mismo tiempo que estaba publicando el post estaba hablando con amigos en el equipo de seguridad de Google que, como siempre, se portaron super-diligentemente para analizar las apps y tirarlas lo antes posible. El que se llevara el IMEI sin decirlo, era causa suficiente para ello, así que no había ningún motivo para no hacerlo.

Nosotros, por supuesto, tenemos el 100 % de las apps que publiqué ayer guardadas y analizadas, para que formen parte de cualquier investigación futura, o informe, que necesitemos realizar. En ellas se puede ver cómo la app es totalmente falsa, ya que no pretende bajo ningún concepto, hacer lo que dice  que hace. Todo es un engaño que lleva a páginas con falsas animaciones que muestran publicidad.

Dice la Real Academia de la Lengua Española que estafar es "sacar dinero o cosas de valor con artificios y engaños" con un ánimo de lucro y sin pagar nada a cambio. Esto es lo que hacen las apps del "negocio" que tenía montado en Google Play el tipo de ayer. Las apps, usando marcas comerciales conocidas como reclamo, prometen cosas que no hacen, ni tienen intención de hacer.

A sabiendas de eso, la pagina web principal del dominio tampoco está activa y lo único que ha dejado son las claúsulas legales porque alguna app todavía las estará mostrando y por eso sigue siendo necesario que se mantenga. Es decir, aún está ganando dinero con este tipo de sistema productivo que se ha montado.

Por otro lado, la mayoría de los dominios que utilizaba para recoger los datos y recolectar dinero con la publicidad han desaparecido. Sin embargo, se puede ver que en la caché de Google quedan aún muchos de los enlaces y se puede acceder a la "animación".

WiFi Hacker Pro 2014 y los dominio TuruMovil y ForoPolicio

Aún no ha quitado todas las animaciones, porque hay algunas otras fake apps que las tiene apuntando a otro dominio. Una de esas fake apps es WiFi Hacker Pro 2014, que como muchas otras de sus apps en los análisis de las casas antivirus las empiezan a detectar ya como malware, tal y como puede verse en Virus Total.

Figura 1: Análisis de Virus Total de WiFi Hacker 2014 Pro

Esa fake app muestra la publicidad desde un host del dominio Turumovil.com que te lleva a esta animación. El asunto es que esta app, WiFi Hacker Pro 2014, aún mucha gente la está instalando ya que está disponible en muchos markets alternativos, como puede ser éste, donde se ofrece el enlace para la descarga de la herramienta desde Google Play o desde el propio market.

Figura 1: Animación de la fake app WiFi Pro Hacker 2014 Pro

En las webs de la animaciones puede verse el código que utiliza con Google Analytics para recolectar las estadísticas de todos ellos y monetizar la publicidad. Como no, el código de recolección de estadísticas es el mismo en todos ellos, pero lo más curioso es que es para hacer ganar tráfico y dinero a un dominio llamado ForoPolítico.NET, que está gestionado por las mismas personas.

Figura 3: Código de Google Analytics inyectado en la animación de la fake app de WiFi Hacker Pro 2014

Si quieres analizar el código de la app y ver lo que hace esta supuesta herramienta puedes descargar el binario de la siguiente URL: WiFi Hacker Pro 2014 [fake app].

El registro Whois de las personas que están detrás de TuruMovil lo puedes ver en el siguiente enlace [Whois Turumovil.com] y las personas que están detrás de ForoPolitico.net son las mismas. En él se puede ver que son más de uno los que contrataron este dominio donde se pone al animación que muestra esta FakeApp de WiFi Hacker Pro 2014 y hace generar tráfico al Google Analytics de ForoPolítico.net.

Amenazas y BlackSEO reputacional

Es curioso como uno de los socios de estos negocios en el año 2009 mostraba un escrúpulo grande en un artículo titulado "Que vienen los piratas" cuando alguien hacía de dudosa ética en el mundo de Internet y el software. Es para ver y creer.

Figura 4: Comentario en contra de malas prácticas en Internet

Evidentemente, estos tipos que intentan vivir engañando a los usuarios para robar datos - no olvidemos que ayer vimos como se llevaban datos personales e IMEI sin declararlo a la Agencia de Protección de Datos y cómo SIN CONSENTIMIENTO del usuario envían los datos a un servidor de publicidad, viven siempre al margen de la ley, pero intentando abusar de ella.

Por eso, nada más publicarse el artículo en Menéame, contactaron con ellos para borrar los datos personales y el artículo tal y como comentó Ricardo Galli y me consta que están buscando cómo hacer lo mismo con mi artículo. Por otra parte, la estrategia en paralelo es hacer un poco de BlackSEO reputacional, pero de eso ya os hablaré más adelante. Os iré contando con pelos y señales lo que vaya pasando.

Saludos Malignos!

"Crapware" utiliza la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

Hoy os vengo a contar una historio curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android. De cómo lo hace, y de cómo actúa una persona así. Para que quede claro, voy a comenzar la historia desde el principio, para que podáis seguir todo el hilo de investigación y al final me deis vuestra opinión.

El Greyware y las apps en Google Play

Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay mucho greyware, spyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.

Figura 1: Un falso desarrollador vendiendo falsas apps de Apple

Es decir, software malicioso que roba datos engañando a los usuarios con unas políticas de privacidad y términos legales de difícil acceso y compresión, algo que se están encargando de hacer ilegal desde hace tiempo, para exigir más claridad y menos estafadores como estos.

Unapp.es se hace una base de datos con tus datos

Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda  y que nos llevó a preguntarnos por qué.

Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps que engañan al usuario. Saber a cuáles son los datos a los que acceden es fácil de comprobar, y mirando el código aparece esta sección que se publicó en el blog de Eleven Paths en el que se aprecia que se lleva datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.

Figura 2: El código que se lleva los datos a un servidor llamado bd.unapp.es

Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos.

La ofensa y amenaza

Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales la explicación de por qué se llevan esos datos - aunque no se notifica al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:

" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"

Adecuados, pertinentes y no excesivos. ¿El IMEI? Es curioso que la propia Google, en su política de apps advierte de que esta práctica, sin un consentimiento explícito del usuario para acceder al IMEI - explícito al IMEI - está prohibida.

Figura 3: Política de Google Play de acceso al IMEI

El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.

El caso de una app falsa con la imagen de Menéame

Lo más gracioso, es que las apps que se distribuyen son fake-apps, y no hacen lo que prometen o no están activas y utilizan técnicas agresivas para la difusión. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen de Menéame, Google y un juego de niños.

Figura 4: El desarrollador Androcia mete el mismo código de fake app

En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.

Figura 5: Menéate con Menéame. Una fake app que te roba tus datos.

Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.

Figura 6: Comentarios de obligación

Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, etcétera. Datos imprescindibles para ver el contenido según ellos.

Figura 7: A los 20 segundos te automáticamente da por aceptada la política

Sin embargo, como lo que interesa es ganar dinero, los datos de la persona sí que se envían al servidor de publicidad que está utilizando, tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador de Android.

Figura 8: Como se puede ver, se envían los datos a un servidor incluso sin aceptar la política

Por supuesto, una vez que la instalas, la app o no hace nada, o te muestra unas bonitas animaciones que no tienen desperdicio, como que está cargando algo. Lo más curioso es que encima de solo meter una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.

Figura 9: Una de las animaciones que usa en sus fake apps de hacking WiFi

Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware & spyware haciendo fraude online es de un nivel de dispersión grande.

El resto de las apps que mantienen su negocio de greyware

Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps utilizadas en este negocio es muy grande. Así, además del primer desarrollador que vinos antes que utilizaba este negocio, hay muchos más y en Eleven Paths estuvimos buscándolos.

El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.

Figura 9: Las apps de Nave Real, un desarrollador que roba igualmente los datos

En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.

Figura 10: Las apps de Multimedia apps

En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.

Figura 11: Apps de Marica non chores que usaban el mismo código

Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.

Figura 12: Apps de Ricardo Cholete

También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las apps de WhatsApp.

Figura 13: Celeron también se suma al WhatsApp

Otros desarrolladores que también uso fue Freida Ideal Desing & Program, Sestaapps, Sestao River The best, Piercing, Leti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Google puedes encontrar lo que hacían.

¿Para que robar todos estos datos?

Tener asociado el IMEI, el número de teléfono y el correo electrónico en una base de datos podría venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.

En definitiva, las apps que genera esta empresa no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen todos los que se lleven tus datos. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.

Saludos Malignos!

Actualización: La historia de esto continúa en Adware & Política
Actualización 2: Más en Unos pensamientos personales sobre buenos y malos

Esteganografía, Estegoanálisis y Hacking & Seguridad en Comunicaciones Móviles

Hace tiempo que no os hablo de los libros en los que estamos trabajando en 0xWord, pero no son varios los proyectos que tenemos en marcha. Hoy toca ya presentar dos que ya están en el horno para que puedan estar en vuestras manos a partir de la semana que viene.

Esteganografía y Estegoanálisis: Creación y detección de canales encubiertos

El primero de los libros ha sido largo sacarlo, pero al final hemos conseguido tener un texto que recoge teoría, técnicas, prácticas con programación y hasta ejercicios de uso de esteganografía y estegoanálisis de forma didáctica y profesional. El texto ha sido escrito por Jordi Serra - compañero y amigo de la UOC - y Daniel Lerch, que han contado con la colaboración de Alfonso Muñoz - autor del libro de Criptografía - y apasionado también de estas técnicas de creación y detección de canales encubiertos.

Figura 1: Libro de Esteganografía y Estegoanálisis

El libro está publicado en: Libro de Esteganografía y Estegoanálisis. El índice del libro con todos los contenidos lo podéis descargar desde la siguiente URL y este texto en breve estará también disponible dentro del pack de libros de colección completa de 0xWord.

Hacking de Comunicaciones Móviles (2ª Edición)

Hacía tiempo que se había agotado la edición anterior, pero aunque hemos tardado en tener la segunda edición lista ha habido un motivo: Queríamos revisar y actualizar las técnicas de ataque. Así, este nuevo texto amplía lo conocido sobre 4G, explica más en detalle las técnicas y herramientas de ataque a comunicaciones 3G además de ampliar los contenidos. 

Figura 2: Hacking y Seguridad de Comunicaciones Móviles (GSM, GPRS, UMTS, LTE)

El libro está publicado en: Libro Hacking y Seguridad en Comunicaciones Móviles (GSM, GPRS, UMTS, LTE). El índice del libro con todos los contenidos lo podéis descargar desde la siguiente URL y este texto en breve estará también disponible dentro del pack de libros de colección completa de 0xWord.

Dentro de poco espero poder daros más novedades editoriales desde 0xWord, que seguimos trabajando para tener los nuevos temas en el catálogo. 

Saludos Malignos!

Localizar direcciones e-mail en servidores PGP KeyServers

Cuando se plantea hacer un test de intrusión a una compañía, una de las pruebas habituales es probar la tolerancia que tiene la organización a ataques dirigidos en modo APT con alguna prueba de phishing. Algo similar a como decía yo que había que probar la seguridad de tu organización para saber si se necesita con urgencia un plan de concienciación interno para el personal y alguna solución de segundo factor. El objetivo es fácil: robar identidades internas para conseguir accesos privilegiados a la red.

Para ello se deben recopilar los posibles objetivos, para lo que hay que buscar las direcciones de correo de las posibles víctimas, que luego se podrán buscar por distintas redes sociales para interactuar con ellos y hacerles el ataque. 

Localizar esos correos puede hacerse de muchas formas, desde usar The Harvester o Maltego para localizarlos en los buscadores, hasta hacer un spidering & crawling al sitio para localizar las direcciones de correo electrónico publicadas en la web, pasando por buscar en las bases de datos de identidades dumpeadas, revisando con la FOCA para extraerlos de los metadatos o en los lugares de configuración well-know, como los registros SOA del DNS, los datos en los Certificados Digitales o la información histórica de las entradas de Whois. Todo vale para localizar datos.

Figura 1: Correos electrónicos de fbi.gov localizados por Maltego

Una de las cosas que se pueden utilizar también son los servidores de claves públicas PGP. Si una persona está utilizando PGP (Pretty Good Privacy) para firmar y/o cifrar sus correos es necesario que comparta su clave pública PGP para que alguien pueda cifrar el contenido del mensaje con ella y garantizar que sólo él puede ver el contenido.

Para que sea fácil la distribución de claves públicas PGP se crean servidores de claves públicas llamados KeyServers que pueden ser consultados con clientes para hacer búsquedas. Estos servidores se montan en las organizaciones normalmente en el puerto 11371, así que un sencillo escaneo de puertos nmap en la red por ese puerto debería dejarte localizarlos.

Lo bueno es que también hay servidores de claves PGP públicas que funcionan vía web, desde que se publicó OpenPGP HTTP Key Server en el MIT, que permiten hacer búsquedas usando comodines. Así, si la clave es pública, puedes buscar direcciones de correo de cualquier organización.

Figura 2: El servidor OpenPGP del MIT

Algunas de esas claves son creadas y publicadas con cierto trolleo, porque al buscar las del FBI me han salido algunos resultados, que parecen cuanto menos sospechosos de haber sido inyectados como claves fake. Al final uno se crea el certificado digital que quiere y lo distribuye, incluso sin tener que ser suya la dirección de correo electrónico.

Figura 3: Resultados obtenidos al buscar fbi.gov

Este servidor del MIT no es el único, en España hay un servidor de claves PGP públicas en RedIris que también puede usarse para buscar datos en los certificados públicos PGP de, especialmente, dominios de la universidad.

Figura 4: Servidor de claves PGP públicas en RedIris

También tiene un servidor de claves públicas PGP el propio dominio de PGP.com donde aparecen otras bases de datos. Recordar que PGP es un software comercial también, y es quién ofrece este servidor.

Figura 5: Servidor de claves PGP públicas en PGP.com

Buscando por Internet pueden aparecer más servicios de claves públicas PGP en la web, como este que está en Alemania. Al final, cualquier pieza de información puede ser útil en un ataque, y nosotros en nuestro sistema de pentestig persistente Faast - que también cuida de que no se caduquen los certificados digitales como el gran FAIL que le ha pasado a Apple - buscamos en todos ellos para poder el mayor número posible de información a la hora de lanzar los plugins de pentesting contra los servicios.

Saludos Malignos!

USB Rubber Ducky: Un teclado malicioso como un pendrive

En el mundo de la seguridad informática hay todavía empresas, administradores y usuarios comunes que no han tomado conciencia de la importancia que tiene la seguridad física, un punto clave a tener muy en cuenta. Siempre hay gente que quiere robarle la contraseña a su pareja, a su jefe, a su empleado, espiar tu historial de sitios que visitas en Internet, las cookies del Facebook, robarte los passwords de la red WiFi, o robar documentos como hizo Edward Snowden con los documentos de la NSA. Supongo que las listas de correos que recibo con esas peticiones os deberían servir de muestra más que suficiente de con quién os jugáis los cuartos.

Existen técnicas y maneras de conseguir acceso físico a un equipo y explotar las vulnerabilidades, y lo único que hay que hacer es forzar los condicionantes adecuados para poder llevarlo a cabo. Perder de vista el equipo o prestarlo a un amigo un momento para revisar las novedades de algún blog, o separarte de tu escritorio por unos momentos para ir al lavabo, es tiempo suficiente para que un atacante pueda llegar y enchufar un dispositivo como el “USB Rubber Ducky”.

Este dispositivo es un teclado programado con forma de USB que nada más conectarse comienza a escribir en el equipo de forma automatizada, para lanzar programas y herramientas que bien pueden estar en el equipo víctima o cargados en la memoria Micro SD que lleva incluida.

Figura 1: Estructura de USB Rubber Ducky

En cuestión de segundos tendría acceso a información que se podría subir automáticamente a un servidor FTP u otro sitio. Algo parecido a lo que se explicaba con USB Dumper, pero al revés, es decir, en lugar de ser el servidor el malicioso que roba los datos del USB, sería USB Rubber Ducky el que robaría los datos al equipo.

En este vídeo de ejemplo que hizo TorresCrack248  se puede ver como en cuatro segundos se puede robar la contraseña del administrador de la computadora, lanzando con USB Rubber Ducky un script basado en Mimikatz que acceda a los datos.


Figura 2: Vídeo demostrativo del uso de USB Rubber Ducky

¿Qué es USB Rubber Ducky?

Casi todos los sistemas operativos de computadoras portátiles, tablets o smartphones permiten la comunicación con el usuario a través de los teclados USB. Es por eso que hay una especificación en el estándar USB ubicua conocida como HID (Human Interface Device) – o dispositivo de interfaz humana. En pocas palabras, cualquier sistema operativo al que conectemos el USB Rubber Ducky lo detectara y será bien aceptado automáticamente como si se hubiera conectado un teclado, ya sea en Windows, OS X, Linux o Android.

Al final, el teclado sigue siendo un interfaz fundamental y lo que hará USB Rubber Ducky es "teclear comandos" en el sistema como si lo estuviera haciendo el usuario que se ha conectado a la sesión. Usando un sencillo lenguaje de programación y un editor de texto podríamos compilar un binario que automatice diversos “payloads” con lo cual podríamos realizar ataques en cuestión de segundos.

Figura 3: Estructura interna de USB Rubber Ducky

Con una idea similar, el libro de Hacking iOS se explica cómo usando un Teensy 3.0, en lo que se basa USB Rubber Key, se simula un teclado por USB para iPad para lanzar un ataque de fuerza bruta porque no hay protección de número de intentos para el teclado y se rompe el passcode de un iPad - uno de los muchos trucos de saltarse el passcode de iPhone & iPad.


Figura 4: Ataque de fuerza bruta al passcode de un iPad con Teensy 3.0
Debido a su estructura, los sistemas operativos ofrecen una confianza inherente a las pulsaciones del teclado, por lo tanto los dispositivos que abusan de la interfaz HID no pueden ser detectados por las contramedidas tradicionales de forma sencilla ya que iría contra la filosofía Plug&Play de los sistemas. Esto hace que sea una herramienta muy útil en procesos de pentesting internos, ataques de ingeniería social del tipo "¿me puedes imprimir un documento?" o de auténticos atacantes de dentro de la organización.

¿Qué ataques se pueden realizar?

Al final, cuando un usuario pincha un USB Rubber Ducky en su sesión de usuario es como si le hubiera dejado el teclado al atacante para que este ejecutase lo que quisiera. Es decir, este ataque se aprovecha de la confianza del usuario, que al final siempre es “el eslabón mas débil” o de la seguridad física de muchos equipos expuestos.

¿Cuántos de ustedes han llegado a alguna oficina gubernamental, banco y tienen a simple vista y acceso a los puertos USB de los equipos? ¿A cuántos de ustedes les han prestado algún equipo para revisar el correo, las redes sociales, etcétera? ¿Cuántos no tienen en la oficina un equipo de un compañero con cuentas de diferentes administradores o que tenga más permisos que el resto? ¿Cuántas veces no has visto un puerto USB en un Kiosco de Internet o un Punto de Información? Si ninguno de esos puertos bloquea el interfaz HID, puedes hacer el ataque. Al final quizás agregar, subirlas a un servidor FTP en cuestión de segundos.

Seguro que os ha tocado llegar a una oficina a resolver tramites y la persona que te atendió tuvo que salir un par de minutos, y esto es tiempo suficiente para un atacante enchufar el USB Rubber Ducky y lanzar el payload - en lugar de hacer un David Hasselhoff para robar las passwords -. Por mencionar algunos ataques brevemente:

* Recolección de información del sistema operativo.
* Robar información importante de los navegadores de Internet.
* Robar y usar las cookies de las sesiones abiertas.
* Hacer capturas de pantalla del escritorio y carpetas importantes del sistema.
* Robar y utilizar las contraseñas de las conexiones WiFi de la víctima.
* Subir la información a traves un servidor FTP.

 Ataques dirigidos al sistema:

* Agregar usuarios con permisos administrativos al equipo de la víctima.
* Borrar usuarios del sistema.
* Hacer Pharming de DNS.
* Infección del sistema descargando y ejecutando un binario de Internet.
* Crackear passwords del administrador en el sistema.
* Crear un Backdoor WiFi.
* Bloquear programas en el sistema operativo de forma sigilosa.

¿Cómo podemos protegernos de estos ataques?

Desde que el grupo de hackers de Hack5 hizo pública la herramienta, algunos siguen pensando que desactivando el “autoplay” de los discos USB podrían detenerlo, pero esto no es posible hacerlo de esa manera ya que el ataque no sea hace vía un USB de almacenamiento sino como si alguien estuviera tecleando en un teclado USB.

Las formas que se puede utilizar para detectar que un USB es realmente un HID USB, se puede hacer un script en PowerShell que enumere la lista de dispositivos HID que alerte cuando uno nuevo se haya conectado y se bloquee. Aquí hay información sobre cómo acceder a la lista de los dispositivos desde PowerShell. A partir de ese punto, la forma en la que quieres estar protegido depende de ti.

En el trabajo de Adrian Crenshaw, titulado "Plug & Prey: Malicious USB devices" que fue presentado en la ShmooCON 2011 se explica en detalle la lista de posibles ataques que se pueden hacer por USB. Entre ellos, por supuesto, los teclados USB que abusan de la interfaz HID. Aquí tenéis el vídeo para ver la conferencia.

Figura 5: Plug & Prey - Malicious USB Devices

En el trabajo se presta especial atención a los PHUKD (Programmable HID USB Keyboard/Mouse Dongle) ya que no solo simulando un teclado malicioso es el problema, y la simulación de un ratón malicioso que hiciera clics en zonas concretas sería igual de peligroso. Para proteger los USB utilizando las políticas GPO de Windows hay que tener en cuenta que si el usuario que pincha el USB Rubber Ducky es una administrador, siempre podrá cambiar la política, pero lo dificultaría. Esto hace que fuera factible, dentro de una política de Maximizar la seguridad de un Windows, usar listas blancas de los dispositivos USB que se pueden conectar a un equipo.

Figura 6: GPO para prevenir la instalación de dispositivos USB no autorizados

De todas formas, como utilidad de monitorización, Adrian Crenshaw recomienda usar USBDeview, que muestra en tiempo real toda la información de todos los dispositivos USB que se conectan, detectando aquellos que son PHUKD en la lista.

Figura 7: USBDeview

Alex TorreCrack ha hecho una herramienta de protección ante estos ataques que liberará en breve llamada Shielducky que hace fácil controlar estos ataques monitorizando los dispositivos HID sin tener que desactivar los puertos USB desde la BIOS/UEFI, etcétera. La interfaz es bastante amigable y fácil de usar ya que basta como presionar un simple botón para detectar cualquier HID que se conecte y bloquearlo.

Figura 8: Shielducky - una herramienta para bloquear dispositivos USB HID

Así que te recomiendo tener cuidado porque en cualquier momento sin que te des cuenta te pueden intentar  “enchufar” un USB Rubber Ducky en lugar de un pendrive cuando te descuides. Ten cuidado.

Saludos Malignos!

No Lusers 171: Emociones Intelectuales

Durante este año 2014 me ha tocado viajar bastante. Durante estos vuelos he vuelto a echar mano de Autodesk Sketch Pro para hacer unos No Lusers, que he ido acumulando sin publicarlos por aquí. Muchos de esos dibujos tienen que ver con cosas que van pasando y que yo interpreto a mi manera, otras son solo garabatos que tengo que saber por qué salieron de mí. Uno de esos que salió de mezclar ideas inconexas en mi cabeza es este que os dejo aquí.

Figura 1: No Lusers 171 - Emociones Intelectuales

¿De donde salió esto? Pues desde que vi la película de Inteligencia Artificial de Stanley Kubrick vuelvo periódicamente a hacerme las preguntas que en ellas se plantean sobre la relación humano y máquina. Cuando vuelvo a ella siempre está presente presente en mis cavilaciones película de Blade Runner y su test emocional de Voight-Kampff, basado en los enunciados del test de Turing, mucho más presente por todas las curiosidades que he leído sobre Alan Turing en el libro de Microhistorias mis amigos de Cyberhades.

Figura 2: El test de Voight-Kampff en Blade Runner

Todas esas reflexiones confluyeron en mi cabeza al ver que el mítico y sempiterno trabajo de Forges ha cumplido estos días 50 años. Viendo un reportaje sobre Forges, me acordé de su trabajo con MegaTorpe en la colección de libros de Informática para Torpes.

Figura 3: La pérdida de la ilusión según Forges

Con todo este en la cabeza, acabó por salir la tira que habéis visto arriba. Compleja la forma en la que la mente funciona, que es capaz de unir cosas de hace años con acontecimientos recientes. Compleja y curiosa cuanto menos.

Saludos Malignos!

Un estudiante me pide robar los exámenes de su instituto

Tantas veces he recibido peticiones de hacer cosas ilegales, que al final he actualizado la página de contacto de mi blog para dejar claro que esto no es una cosa de hackers, sino de otro tipo de gente. Por culpa de los mass-media esto pasa demasiado a menudo, por desgracia.

En el caso de los estudiantes y las notas, había recibido peticiones similares a este muchas veces, pero todas habían tenido que ver con las notas de la Universidad o exámenes de oposición, a los que siempre les he dicho que es mejor suspender y aprobar después, que aprobar de forma fraudulenta, además de que te puede llevar a ser estafado por andar por la vereda oscura de Internet.

Figura 1: El twitt publicado, por si quieres ver las opiniones de la gente

Sin embargo, esta vez es la primera vez que recibo una petición de parte de un estudiante de un instituto, lo que me da bastante pena que esto haya sido así. Este es el correo electrónico que recibí y publiqué en mi cuenta de Twitter.

Figura 2: El correo electrónico que recibí a las 4:53 de la madrugada

He estado tentado de poner los datos del instituto, pero creo que sería echarles a ellos encima una mala imagen que tal vez no merezcan. No obstante, voy a intentar ponerme en contacto con ellos para que trabajen en clase que este tipo de cosas son delitos que te pueden llevar a tener problemas legales serios. A parte de esto, mi respuesta fue tan sencilla como evidente.

Figura 3: Respuesta que le envié.

Si eres profesor de instituto, por favor, explica a tus alumnos los problemas que pueden tener por insultar, amenazar o acosar a personas por las redes sociales, por colarse en los equipos de sus vecinos por la WiFi, por crear perfiles falsos en las redes sociales, etcétera. Últimamente he visto muchas denuncias de casos similares a estos que han terminado mal para jóvenes menores de 20 años, y creo que ya es hora de que empecemos a trabajarlo de forma seria.

Saludos Malignos!

Usar las Google Glass puede provocarte dolores en los ojos

Google lanzó durante tiempo limitado un número muy limitado - valga la redundancia que utilizo para enfatizar que todo ha sido muy limitado - de unidades de Google Glass. Tras las primeras pruebas, más de uno se ha quejado de que le dolían los ojos y la cabeza.

Figura 1: Quejas en Twitter de dolores de cabeza al usar Google Glass

Según parece esto es debido a que las gafas de Google pueden obligar a los ojos a hacer movimientos que habitualmente nunca antes habían realizado, lo que puede provocar dolor de ojos y de cabeza. Esto está reconocido por los médicos de Google. Viendo esta noticia, además de contaros lo del "dolorcillo", he hecho mi propia interpretación en modo No Lusers, que es lo que os dejo por aquí.

Figura 2: No Lusers 170 - Dolor de ojos al usar las Google Glass

Cuando estuve en Google X yo tuve la ocasión de probarlas en primera persona, y la verdad es que no me sentí demasiado cómodo con ellas. Tal vez, solo tal vez, en el futuro las funcionalidades que ofrezca el usar las Google Glass sea suficientemente útil para mí, y me anime a tener unas.

Figura 3: Más dolores de cabeza con Google Glass

De momento, las críticas no han sido buenas, y respecto a la calidad el comentario tras el despiece de las Google Glass ha sido que el hardware es "Dirty Cheap". ¿Alguno de vosotros las ha probado a fondo o tiene alguna opinión fundada sobre ellas?

Saludos Malignos!

No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

Hace ya un tiempo me pidieron escribir un decálogo sobre seguridad informática para entregar en un evento en el que iba a participar. Como siempre, huyendo de formalismos establecidos decidí escribir en tono de humor algunas de las ideas que llevo siempre dentro de mi cabeza - o debajo del gorro para según quién -. Entre las diez reglas que escribí, recuerdo que una de ellas decía:

"Pagarás todo el dinero del mundo por securizar tus sistemas…

una vez te hayan hackeado y expuesto públicamente. ".

Inexplicablemente, día tras día, veo esta afirmación respaldada por la actualidad de Internet que no deja de traer, una tras otra, noticias de empresas que han sido afectadas por esta norma del decálogo maligno que escribí.

Figura 1: Bitly hakeado solicita resetear passwords

La última de ellas que ha venido a respaldar el enunciado ha sido la empresa Bit.ly la web de Ebay que ha visto como sus cuentas de usuario han quedado expuestas públicamente y ha tenido que pedir el reseteo de contraseñas masivo.

Figura 2: Después del 21 de Mayo hay que cambiar la password

En ambos casos, tanto en Bitly como en Ebay los datos se fueron para siempre, y como suelo decir en las charlas de Digital Latches, una vez que los datos de un cliente han sido expuestos, han sido expuestos para siempre. Puedes pedirle al usuario que cambie la password o que cancele la tarjeta de crédito, pero no puedes pedirle que se cambie el nombre, los apellidos, dónde vive, la fecha de nacimiento o los números de identificación de documentos oficiales como el DNI o el pasaporte. Tu eras responsable de sus datos, y ahora ya no hay forma de controlarlos porque están en la red para siempre.

Para evitar que alguien pueda sufrir un robo de identidad y cualquiera de las consecuencias que esto pueda acarrear, en el caso de Bitly se ha implementado un sistema de Autenticación de Segundo Factor para sus identidades, mientras que en el caso de Ebay ya lo tienen...- al menos en USA, pero no en Ebay.es, donde aún por defecto el sitio funciona en HTTP y no HTTPs y no hay forma de encontrar donde poner un 2FA -.

Figura 3: Zona de configuración de cuenta de Ebay.es bajo HTTP

Esto no solo le pasa a empresas de este tamaño, sino que empresas tan importantes, poderosas, grandes y con tanto dinero en caja como Apple no han tenido una media de seguridad en 2FA en sus sistemas de identidad hasta que el número de incidentes como el del periodista de la revista Wired, Matt Honan que según sus palabras fue "brutalmente hackeado" no han salido a la luz pública.

Lo triste es que, una vez que los datos se han esfumado, puedes solicitar el reseteo de la contraseña -incluso aunque sea casi 2 meses después de que la base de datos hubiera robada como en el caso de Ebay, que dicen que perdieron la base de datos a finales de Febrero o principios de Marzo, robando las credenciales de empleados de Ebay porque NO tenían 2FA en sus cuentas de usuario internas.

Figura 4: la base de datos fue robada a finales de Febrero, principios de Marzo

La fortificación de sistemas

La fortificación de cualquier sistema informático se basa en tres reglas archi-conocidas fácilmente entendibles y reconocibles por cualquier persona. La primera de ella dice que debes aplicar siempre el Mínimo Privilegio Posible en todas las piezas de tu sistema - incluidos tus usuarios -. La segunda habla de crear un sistema con la Mínima Superficie de Exposición, o lo que es lo mismo, que reduzca al máximo los puntos expuestos a un atacante. El tercer principio es el más genérico y más importante de todos: Defensa en Profundidad.

Defense in Depth, que dicen los anglosajones, recopila bajo su paraguas todas las medidas de seguridad que ayuden a fortificar el sistema en cualquiera de las capas, siempre y cuando una medida no anule a otra. Si puedes poner otra capa de seguridad para proteger tus sistemas y no rompe una medida de seguridad anterior y no va en contra de la disponibilidad del servicio, ponla.

Piensa como un hacker y hackeate a ti mismo

En un sistema informático, al igual que hacen los hackers e investigadores de seguridad, hay que poner en tela de juicio siempre las protecciones de seguridad que tiene actualmente el sistema para poder pensar en la siguiente medida a implantar. Pensar como un atacante para descubrir cuál es el punto más débil en el sistema que tienes actualmente y planificar como un CSO deben ser parte de la tarea diaria.

Descubrir si lo que necesitas es una protección de 2FA basada en sistemas SMS o más evolucionado como Latch, es tan fácil como descubrir si es sencillo o no robar las credenciales de personas clave de tu compañía como le ha pasado a Ebay. Es sencillo y lo puedes hacer tú, aunque viendo todo lo que ha pasado ya a tantas y tantas empresas que han sufrido el robo de cuentas, parece innecesario.

O bien dentro del próximo proceso de auditoría de seguridad, o como una prueba ad-hoc, hazte un ataque de phishing a ti mismo. Para ello busca las direcciones de correo electrónico de 50 personas de tu compañía o de 50 clientes y envíales un correo de phishing bien armado que les lleve a una web donde se les pida el usuario y la contraseña con el gancho de ser una campaña interna de la empresa para poder participar en un sorteo de la compañía. Haz bonita la web y luego parate a contar el número de credenciales que la gente entrega por la promesa de poder ganar un premio interno. Me apuesto el gorro a que te sorprendería.

Planifica como un CSO ... a pesar de tus jefes

Si eres un CSO y no tienes un Plan Director de Seguridad que te vaya indicando cuál es la siguiente medida de protección que debes aplicar dentro de la regla de Defensa en Profundidad, tal vez no estás gestionando del todo bien tus sistemas. Si pones una medida de seguridad como un segundo factor de autenticación solo después de que has tenido un escándalo, un robo de identidad o un hackeo, probablemente tendrás el mismo problema con otra medida de seguridad en el futuro.

De todas las medidas que tengas que poner, prioriza sabiendo cuáles de ellas van a requerir presupuesto, y cuáles solo voluntad de tu equipo. Si necesitas presupuesto y no tienes, entonces hackea a tus jefes y haz campaña para que entiendan la importancia. Mételos en el ataque de phishing si es necesario.

Haz magia como Harry Potter

Si tienes gente con voluntad de cambiar las cosas, pasionales por la tecnología, con ganas de transformar la compañía a pesar de la compañía, entonces piensa en todas las cosas que se pueden hacer con cero o poco dinero. Aplicar una medida como Latch en una web o servidores Linux, es algo que lleva unos minutos y es gratis si hay menos de 50 usuarios.

No esperes a que hackeen tu sistema para poner la próxima medida de seguridad. Piensa ya como un hacker, atácate a ti mismo, y planifica como solo un CSO sabe hacer, "haciendo magia" con los presupuestos y los recursos, además de pegándose con la gente de negocio. No pensarías que iba a ser fácil ese rol, ¿verdad?

Saludos Malignos!

PD: No os olvidéis de cambiar las contraseñas de Ebay, yo ya he acabado de cambiar las mías.