jueves, julio 31, 2014

TOR confirma que el anonimato en la Deep Web fue roto

El proyecto TOR, una de las redes más famosas de la Deep Web, lleva tiempo siendo objetivo de los gobiernos que buscan conocer quién es quién  y dónde está cada servidor dentro de la esa red. El último que se sumaba a la lista de interesados fue el gobierno de Rusia, dado la vuelta la noticia por todo el globo terráqueo. Lo cierto es que desde hace tiempo que se conocen muchos ataques sobre la red con el objetivo de acabar con el anonimato, y que además se han puesto en práctica.

En la larga lista de ataques se encuentran los más evidentes, con la inserción de nodos de entrada y/o salida maliciosos que pudieran hacer de man in the middle entre el cliente y el nodo rogue de TOR o entre el nodo rogue de TOR y el servidor de salida, como lo que intentamos nosotros para hacer nuestra JavaScript Botnet.

Figura 1: Estructura de nodos y conexiones en la red TOR

Otro de los ataques conocidos es el de aprovecharse de alguna vulnerabilidad en el software cliente de conexión, como vimos con Tor Browser que fue utilizado por el FBI para descubrir a muchos de los usuarios de la red y hacer una macro operación en la red. Para evitar estos ataques la recomendación es conectarse a la red TOR con tu propio nodo y sin tener siquiera una conexión IP a Internet, como describe ese artículo.

Al final, hasta el software más especializado en anonimato puede tener bugs que dejen al descubierto tu punto de conexión a la red, como hemos visto recientemente con TAILS, el sistema operativo basado en Linux para conectarse a TOR que ya era objetivo de investigación por parte de la NSA y que ha tenido que actualizarse este 22 de Julio para solucionar un serio bug.

Entre la lista de ataques a TOR, uno que a mí me llamó mucha la atención fue el publicado en el paper de "Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries" donde los autores explican que si tienes un buen número de nodos rogue en TOR y eres capaz de inyectar una señal en cada paquete que envíes para medir tiempos y tipos de paquetes que puedas ir anotando cuándo vuelves a ver esa señal en otro nodo, podrías ser capaz de saber qué paquetes han pasado por los mismos nodos. 

Figura 2: Ataque de correlación de tráfico para de-anonimizar conexiones

Es decir, al final, con tráfico capturado durante varios meses haciendo análisis estadístico de los datos obtenidos en la medición de las señales podrías ser capaz de conocer cuáles son las rutas que se siguen, cuáles son los servidores y dónde se encuentran con una probabilidad del 80 % a los 6 meses de capturar tráfico.

Lo curioso es que desde el blog de TOR se habla ahora que durante 6 meses de este año 2014, es decir, desde el 30 de Enero al 4 de Julio, se ha detectado la presencia de un alto número de nodos que estaban inyectando "signals" en las cabeceras para medir tráfico y capturar rutas, lo que deja, según confirman en su artículo, todo el anonimato roto durante este periodo de tiempo.

Ahora la recomendación es actualizar el software de nodos y clientes para solucionar las debilidades que aprovechan estas técnicas de cálculo de rutas, pero claro, esto será solo para el futuro y suponiendo que dentro de 6 meses no se diga que se inyectado un bug que ha sido explotado durante este periodo de tiempo.

Tened presentes que una de las leyes de la criptografía es que con el tiempo todo sistema de seguridad acabará siendo posible romperlo, así que muchas organizaciones están trabajando en sistemas de archiving de tráfico de red. Es decir, graba todo el tráfico que puedas de la red TOR hoy y ya lo analizaremos cuando lo descifremos mañana. Avisado quedas.

Saludos Malignos!

miércoles, julio 30, 2014

WordPress: Ten cuidado con el cacheo de borradores

Hace ya bastante tiempo publiqué un artículo sobre cómo entre todo lo que queda indexado y/o cacheado en los buscadores, pueden quedar los enlaces a las previsualizaciones de los posts que se van a publicar en los blogs de Blogger. Yo uso Blogger, así que me fue sencillo darme cuenta de esta situación.

Figura 1: Previsualización de un post en la plataforma Blogger

En otros motores para gestionar blogs nunca había mirado si existía una forma similar de hacer previsualizaciones y compartirlas, pero revisando en WordPress, aprendí que existe el plugin "Share a Draft", un módulo para compartir una previsualización de un artículo en la que además se puede pedir feedback a las personas con las que lo compartes. Muy útil para la supervisión de artículos.

Figura 2: Plugin Share a Draft para WordPress

Estos enlaces son fáciles de localizar, porque llevan la cadena "shareadraft" en la dirección URL y por tanto es sencillo localizarlos en Google y Bing, donde se puede ver que no hay demasiados indexados.

Figura 3: URLs de Share a Draft indexadas en Bing
Figura 4: URLs de shareadraft indexadas en Google

La gracia es que en muchos sitios, dependiendo de las opciones de indexación y caché del sitio web, se puede recuperar contenido que tal vez haya sido modificado en el documento final, pero que haya quedado en el índice o en la caché del buscador, lo que podría dar datos curiosos.

Figura 5: Un draft de un artículo compartido con "Share a Draft" en la caché de Google

El problema como usuario de este módulo que puedes tener es que envíes esta previsualización a un amigo, compañero o vecino del que quieras tu opinión. Él, para no olvidarse de que tiene que revisar tu artículo guarda la URL por ejemplo en una nota pública de un sistema como Evernote. El bot de Google lo indexa y cachea la página de resultados. Luego tú decides cambiar algo en el artículo, pero esos datos ya han quedado en los buscadores.

Figura 6: Proceso de leak de un borrador con Share a Draft en WordPress

Si tienes un WordPress en el que estás utilizando este módulo, lo que deberías hacer es revisar las opciones de NoIndex y NoCache de las URLs de este módulo, como un punto más a la hora de fortificar tu plataforma WordPress.

Saludos Malignos!

martes, julio 29, 2014

0xWord: Código descuento de lectura veraniega. Solo hoy

Como en el pasado, 0xWord va a activar el Mode Verano y durante el mes de Agosto no se hará entrega de pedidos como habitualmente hacemos. En este periodo se va a hacer un cambio de almacén, y como la actividad suele bajar se aprovecha para acumular la entrega de pedidos a finales de mes y hacer otras tareas.

Figura 1: Llévate a la FOCA contigo a la playa

Pero.. para los que quieran llevarse a la playa la mejor de las lecturas, como hace mucha gente, hemos sacado un código descuento con un 10% de rebaja sobre el precio que durará solo hoy, es decir, hasta las 24:00. El código descuento es VERANO2014. Las compras deben estar hechas hoy, y las confirmaciones de los pagos deben haber llegado, como muy tarde, el miércoles, ya que el jueves se harán los últimos envíos y se activará el Mode Verano.

Figura 2: Código descuento 10% solo para hoy "VERANO2014"

Así que, si quieres algún libro para llevarte a la playa, hoy es el día. Además, te informo de que hasta nueva orden Hacking con Buscadores y Una al día están agotados, además de que el número de unidades disponibles de Metasploit para Pentesters [AGOTADO] y Hacker Épico es muy corto y probablemente hoy se acaben también esas ediciones.

Por si quieres alguna recomendación, en Security By Default hicieron una selección para hacerse profesional de la seguridad. Yo, como creo que la playa es más para vaguear y tomar martinis, si tuviera que llevarme alguno a la playa, yo me llevaría Hacker Épico, Wardog y el Mundo, o Microhistorias: anécdotas de la historia de la informática y los hackers, que son de disfrutar la lectura a la par que aprender.

Saludos Malignos!

lunes, julio 28, 2014

Saltar el bloqueo de cuentas Google es un juego de niños

El robo de identidad es algo muy común hoy en día, por eso hay que poner un segundo factor de autenticación a todas tus identidades si quieres evitar sustos innecesarios. En mi caso, me gustaría poner Latch como ya he hecho con mi Windows para saber cuándo alguien intenta entrar en mi cuenta con mi contraseña, pero mientas que no exista esa posibilidad en Google, uso Google Authenticator que si bien no me avisa cuando alguien usa mi contraseña en mi cuenta y me obliga a poner un código cada vez que inicio sesión, al menos sé que me tienen que robar el terminal para lograr robarme la identidad.

Figura 1: Respuesta de Google Security sobre esto que os voy a contar

El poner un segundo factor de autenticación es para mí vital, sobre todo viendo las medidas de seguridad que tienen empresas como Google para detectar y bloquear el robo de identidad basándose en patrones de comportamiento. De todo esto que os voy a contar, avisé a Google y decidieron que NO era un fallo de seguridad. Tal vez luego lo arreglen como las URLs de Gmail indexadas en Google y BING, pero por ahora no. Espero que os guste.

Inicio de sesión desde otra ubicación

La cuestión es que ocurriría si alguien intenta acceder desde una ubicación distinta a la que utiliza el dueño de una cuenta de Google. No olvidemos que una de las características que argumentan los grandes sitios de Internet a la hora de generar las huellas digitales de las conexiones de sus clientes es la protección de las cuentas. En el caso concreto de Google, por seguridad, se bloqueara dicha cuenta y comienza todo un proceso de seguridad para verificar que se trata del dueño legitimo, tal y como explicó Chema en sus pruebas con cuentas robadas y publicadas en foros de Internet.

Figura 2: Verificar tu identidad de una cuenta de Gmail introduciendo cuenta de recuperación

Si intentamos realizar el acceso a una cuenta desde una ubicación distinta a la habitual, haciendo una conexión directamente desde el login del correo electrónico de Gmail aparecerá un desafío y si no contestamos correctamente a todas las preguntas que se formulan - cosas que un atacante probablemente no sepa - la cuenta seguirá bloqueada. Hasta ese punto todo parece correcto, pero... ¿y si intentamos hacer login desde cualquier otra propiedad de Google?

El inicio desde otra ubicación en YouTube

No hay que olvidar que la cuenta de Google hoy en día tiene muchas puertas, por ejemplo haciendo login en YouTube. ¿Se lanza el mismo proceso de seguridad? La respuesta es NO. En este caso, al conectar por YouTube avisara de que alguien esta intentando entrar a tu cuenta desde otra ubicación y formula una pregunta: ¿Desde qué ubicación te sueles conectar normalmente? Esto ya no es una barrera costosa, ya que para un atacante es fácil de averiguar con buscar un poco en Internet.

Una vez conseguida dicha información se accede a la cuenta sin ningún problema. Si al mismo tiempo el dueño legítimo de la identidad está conectado, aparecerá un aviso en la parte superior de la pagina de que alguien ha entrado a tu cuenta desde otra ubicación y realiza otra pregunta más: ¿Has sido tu? Con contestar que sí es suficiente, y adiós a más preguntas al mismo tiempo que se consigue acceso total a Todo Google.

Esto pasará únicamente si el atacante está navegando bajo una conexión con una dirección IP de un país diferente al del dueño de la cuenta, pero si es astuto y antes de conectarse se asegura de obtener dicha información recogiendo información por las redes sociales podría elegir el país de conexión y se tendría acceso sin ningún problema.

El bug en el Bloqueo de seguridad por ubicación distinta a habitual

Siguiendo con las pruebas, intenté iniciar sesión en el login principal de Google desde otra ubicación a la habitual a la mía con conexión vía VPN/Proxy con una dirección IP de "Estados Unidos" quedando así la cuenta bloqueada "por seguridad". Para eliminar el bloqueo Google da varias opciones de recuperación:

Acceso mediante cuenta de correo de recuperación

En esta primera opción debes introducir la dirección de correo electrónico que tienes asociado a tu cuenta de Google. Cualquiera que vea esto, asume que se va a enviar cualquier tipo de mensaje de desafío a ese buzón de correo con algún código y/o enlace para confirmar que se está en posesión de esa dirección de correo electrónico. Sorpresa la mía cuando por error introduzco mal el dominio de mi cuenta de correo electrónico y pongo algo como: "j••••@hotmail.crom"

Figura 3: Con el dominio mal puesto se tiene acceso a la cuenta, desbloqueando el control

¿. crom? dije yo llevándome la manos a la cabeza pensando que al haberlo puesto mal tendría que repetir todo el proceso, pero... no, Te permite entrar. Pero...WTF?

¿Y si pongo un dominio totalmente distinto? Pues también cuela. Al final, lo único que se comprueba es que el nombre de la cuenta sea el correcto, por lo que el dominio no importa nada. De hecho, cuando las cuentas de recuperación son de los grandes proveedores de correo electrónico, no tiene mucho sentido preguntarlo y es más una forma de recordar al dueño qué cuenta se está preguntado.

Figura 4: Con un dominio no existente también se produce el desbloqueo

Lo más sorprendente de todo es que Google NO realiza un desafío sobre el correo electrónico, solo que has acertado en el nombre. Es decir, que no importa si el atacante no tiene control sobre la cuenta de recuperación, basta con que sepa qué cuenta... perdón, que alias de correo en esa cuenta tiene. En este vídeo se puede ver todo el proceso de verificación.


Figura 5: Desbloqueo de cuenta de Google desde ubicación no habitual

Por desgracia, los usuarios tienden a poner el mismo nombre de usuario de su cuenta, pero en otro dominio de correo. Algo como lucas11111@gmail.com, lucas1111@hotmail.com, lucas1111@icloud.com, etcétera. Mala idea para un caso de cuenta de recuperación viendo como funciona el sistema.

Acceso mediante conocimiento de la ubicación habitual

Dependiendo de la propiedad de Google, al detectarse el acceso desde una ubicación no habitual, el desafío puede resolverse si se indica la ciudad desde la que suele iniciar sesión esa cuenta, en mi caso "Palma de Mallorca, España". Vamos, algo que está al alcance de casi cualquiera hoy en día con saber dónde vive una persona mirando su vida en Internet y en las redes sociales. ¿Es útil para algo esta protección?

Figura 6: Desbloqueo de cuentas por introducción de ubicación habitual

Lo cierto es que vistas estas opciones de seguridad para el bloqueo de cuenta, el uso de un segundo factor de autenticación es la única medida eficiente para evitar que en un descuido, un 0day, una troyano, un keylogger, o una conexión controlada entre todas las que se producen en la red con mis cuentas, acabe con el robo de mi identidad.

Autor: Jonathan Novel
Twitter: @JonathanNovel

domingo, julio 27, 2014

X Fórum AUSAPE 2014: Un decálogo de seguridad maligno

El pasado mes de Junio, en la bella ciudad de Zaragoza, estuve como ponente invitado en el X Fórum AUSAPE 2014 para dar una charla. La conferencia se grabó y hace unos días la habían publicado. Yo la he recuperado y la he puesto aquí. Esta conferencia se basa en el Decálogo de Seguridad Maligno que ya había publicado hace unos años por aquí.

Figura 1: Vídeo de la conferencia en el X Forum AUSAPE 2014

Como en la grabación de la charla no se pueden ver bien las diapositivas del evento, os las he subido a mi canal de SlideShare, por si podéis ir viéndolas en paralelo.


Mi colaboración con el forum terminó con el artículo que os dejé de Problem Between Chair & Keyboard, que publicaron en la revista, tal y como podéis ver en el siguiente enlace donde además hay una reseña del evento.  Que tengáis un buen domingo.

Saludos Malignos!

sábado, julio 26, 2014

Latch Event Monitor: Controlar Windows con Latch (3 de 3)

Quedaba pendiente para terminar este artículo de Latch Event Monitor hablar de una de las características que se pueden utilizar en esta herramienta para controlar un poco más todo lo que está sucediendo en el sistema Windows sin necesidad de configurar una opción de respuesta para cada uno de los eventos.

Monitorización de eventos con Latch Event Monitor

En la parte anterior hablamos de la posibilidad de lanzar una respuesta concreta, como bloquear una conexión o una dirección IP en el firewall, si el estado de la operación del Latch pareado estaba Bloqueado o Desbloqueado. En este caso, si lo único que queremos es que nos lleguen mensajes de alerta a nuestra app de Latch cuando se produzca una determinada situación, no será necesario configurar ninguna regla de respuesta, ya que Latch, por defecto, envía alertas si el estado de la operación está Bloqueado y ademas el usuario desde la app ya puede pedir que le lleguen también alertas cuando la operación esté Desbloqueada.

Sabiendo esto podríamos configurar en la aplicación una operación para monitorear cuando alguien toque un fichero del sistema, por ejemplo el popular ficheros hosts que tanto gusta a los amantes del Pharming y el Phishing.

Figura 12: Modificación del fichero hosts para hacer un ataque de pharming / phising

Como se puede ver en la imagen siguiente, se monitoriza el evento del sistema número 4656 que se genera cuando se produce un acceso a fichero, y se busca que en el contenido del evento aparezca el nombre hosts para que nos genere la alerta.

Figura 13: Configuración necesaria para monitorear el acceso a ficheros hosts de Windows en Latch Event Monitor

El resto de la configuración se puede queda en blanco, ya que tanto si el estado del Latch está Bloqueado o Desbloqueado, al final Latch Event Monitor va a hacer la consulta al servidor de Latch con lo que el usuario recibirá las alertas en su app cuando se produzca este evento.

Una demo en vivo de todo esto

La presentación oficial de la herramienta se hizo en la pasada RootedCON 2014 dentro de las charlas que se dieron. Aquí tienes todas las conferencias y en este enlace la charla completa de Playing & Hacking with Digital Latches donde se presentó la herramienta. Para que sea más cómodo entender las funciones de la herramienta, he hecho una pieza de solo 8 minutos con la explicación y las demos de Latch Event Monitor.


Figura 14: Demo de Latch Event Monitor en el pasada RootedCON 2014

Al final, las posibilidades de utilizar Latch Event Monitor están en el número de eventos que quieras controlar y los programas que quieras utilizar para responder a cada uno de ellos dependiendo de los estados de tu Latch.

Saludos Malignos!

********************************************************************************************
Latch Event Monitor: Controlar Windows con Latch (1 de 3)
Latch Event Monitor: Controlar Windows con Latch (2 de 3)
Latch Event Monitor: Controlar Windows con Latch (3 de 3)
********************************************************************************************

viernes, julio 25, 2014

Sé dónde vive tu gato: 20.000 fotos de gatos en España revelan en los metadatos dónde vives

Los gatos son ese felino que te deja vivir en su casa para que disfrutes acariciándole, dándole de comer, y desesperándote por todo lo que él se ha entretenido rompiendo. Son un animal de compañía solo para iniciados que consigue subyugar a su amo solo como ellos saben, haciendo que cualquier cosas que no sea de su agrado sea harto compleja o directamente imposible de lograr. Yo me he criado entre cuatro gatos y un perro y aún recuerdo con dolor en la barriga las risas que me eché - que me obligaron a parar el coche en al cuneta porque si no tenía una accidente - cuando escuché por primera vez a Guillermo Fesser leer en antena esta sencilla lista de instrucciones para dar una pastilla a un gato.

La admiración que la gente siente por esos animales es tal, que se convierten habitualmente en objetivo de sus twits, fotos, publicaciones en Facebook y álbumes de boda. Son los dioses y deben ser tratados como tal, como divos de la moda que posan una y otra vez para que tú les puedas hacer fotos. Es su regalo para ti.

Figura 1: Una de las starts gatunas en la red.

Muchas de esas fotos acaban publicadas en la red con el kit completo de metadatos, ya sabéis, la marca de la cámara que puede usarse para reconocer cámaras de fotos robadas, la fecha y la hora para saber a qué hora has hecho la instantánea y lo que es mejor, la ubicación GPS en la que se tomó la fotografía. Con toda esa información, se puede hacer un bonito mapa que ubique dónde viven los verdaderos amos de este mundo, geoposicionándola en un mapa.

Figura 2: Gatos geoposicionados por sus metadatos en El Sur de Europa

El proyecto se ha lanzado vía crowdfunding para poder soportar el hosting del sitio, pero ya está funcionando en la web I Know Where Your Cat Lives, y ha recogido la información de muchos gatos ya en la red, con lo que puede se puede saber dónde vive una persona por dónde vive su gato.

Figura 3: Hay unos 20.000 gatos geoposicionados en España por sus metadatos

De hecho, estos son los gatos que hay en la región de Móstoles, que estoy aprovechando para ver si alguno es un digno bronxtolita de pro que pueda ser nombrado el gato del año en el próximo pregón de las fiestas de septiembre que ya se avistan. 

Figura 4: Foto geoposicionada de un orgulloso gato Bronxtolita

Por si no te interesa que se sepa donde vive tu gato - y por ende tú - ten cuidado con los metadatos que publicas de tus mininos, al igual que los de cualquier otra foto y/o documento que vayas a hacer público. Los metadatos pueden ser buenos, o malos, según la información que revelen y a quién se la revelen, aquí tienes una lista de más de 30 ejemplos diferentes en los que los metadatos tienen importancia en distintos casos.

Saludos Malignos!

jueves, julio 24, 2014

WordPress: Drama de malware por un bug RFU en MailPoet

Si tienes un WordPress o estás en un hosting compartido en el que hay un WordPress, debes tener mucho cuidado con un ataque que se está produciendo masivamente contra ellos. Todo el problema se debe a un fallo de seguridad de tipo RFU (Remote File Upload) en un popular plugin de WordPress llamado MailPoet usado para gestionar listas de correo en el framework similar al que se produjo hace un mes con otro plugin también en WordPress.

Los creadores del plugin lanzaron una actualización el 1 de Julio, con la versión 2.6.7 de MailPoet que solucionaba un serio bug de RFU en el plugin bajo una Critical Update. El día 4 tuvieron que actualizarlo a la versión 2.6.8 de porque no estaba correctamente solucionado pidiendo disculpas por el bug que ya estaba siendo explotado. Pero el gran problema es que muchos usuarios no actualizaron su plugin cuando salió esta actualización.

Según Daniel Cid, de Sucuri, el ataque de RFI comienza con la subida de una plantilla mailiciosa que actúa como WebShell al sitio que se instalar dentro de /wp-content/uploads/wysija/themes/mailp/ con el que toma control del sitio. Desde ahí, infecta el resto de los temas del sitio y crea un usuario administrador llamado 1001001 dentro del sitio. Si en tu sitio web ves un error similar a este, es más que probable que estés infectado.

Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php
Figura 2: Error que puede significar que estás afectado por este ataque.

Si tienes un WordPress o en tu hosting hay un sitio con WordPress, ten cuidado con la información que hay allí. En primer lugar actualiza éste y todos tus plugins. Asegúrate de tener una política de actualizaciones que te permita evitar estas situaciones en el futuro. Fortifica tu servidor *NIX* y Apache  y revísate las opciones de fortificación de WordPress para mitigar ataques en el futuro.

Saludos Malignos!

miércoles, julio 23, 2014

En Julio tampoco voy a ir a la cárcel por ti

Llevo un mes de Julio revuelto en cuanto a peticiones de hackeo extrañas, ilegales o sospechosas. No paran de llegar porque han visto buscando en Google la demostración de robar las contraseñas de Facebook con el Bridging HTTP(IPv6)-HTTP(IPv4), o porque han leído el artículo de "Cómo espiar WhatsApp", o cualquier otro artículo que les viene al pelo, como el de Cómo meter un troyano en iPhone o Cómo espiar un Android con un Troyano y no les viene un paso a paso de cómo hacer para espiar el número de alguien.


Por desgracia para ellos, todos los artículos tienen un enfoque técnico y se les falta el "step by step", así que directamente piensan que me pueden pedir que cometa yo SU delito. A todos les contesto con un sencillo "No te puedo ayudar en estas cosas", pero la verdad es que entre toda la vorágine de correo, acaban cansando un poco.

Aquí va una nueva remesa de peticiones **solo de lo que va en este mes de Julio** que he seleccionado. No están todas, ya que también me llegaron algunas por Twitter, e incluso algunas por teléfono que habían conseguido por algún amigo común con engaños al amigo común. 

Figura 1: 1 de Julio - Robar un WhatsApp
Figura 2: 2 de Julio - Espiar un WhatsApp
Figura 3: 8 de Julio - Hacker una cuenta de Facebook
Figura 4: 11 de Julio - Espiar un WhatsApp

Figura 5: 11 de Julio - Hackear un servidor de juegos

Figura 6: 12 de Julio - Hackear una cuenta... ¿de Facebook?
Figura 7: 13 de Julio - Hackear el Gmail de su hermano
Figura 8: 17 de Julio - Espiar el Whatsapp de su novia
Figura 9: 18 de Julio - Espiar el Line o el Gmail de una persona con iPhone
Figura 10: 21 de Julio - Espiar el WhatsApp de su novia

Figura 11: 22 de Julio - Hackear el Facebook y troyanizar un PC

A partir de ahora, creo que voy a empezar a contestar en los correos y mensajes copiando a mis amigos de Grupo de Delitos Telemáticos de la Guardia Civil, para ver si empiezan a entender la gravedad de los delitos que intentan cometer.

Saludos Malignos!

martes, julio 22, 2014

Google SÍ usa Bing: Para borrar las URLs indexadas de Gmail

La historia de las URLs de Gmail indexadas en los buscadores no deja de sorprenderme. Primero, durante el mes de Octubre me puse en contacto con el equipo de seguridad para alertarles de que había 79.400 URLs de Gmail indexadas en Google con un montón de información en los parámetros de las URLs accesibles para todo el mundo.

Figura 0: 79.400 URLs de correos de Gmail indexadas en Google

La respuesta que obtuve del equipo de seguridad de Google, después de que les recomendara usar las Herramientas del Webmaster para eliminarlas y cambiar las opciones de las páginas web a NoIndex, fue que no consideraban importante eso.

Figura 1: Respuesta de Google cuando le informé de las 79.400 URLs indexadas en Google

Sin embargo, en el mes de Abril pude comprobar que Google había tomado cartas en el asunto y había eliminado 79.200 URLs de Gmail de todas las que allí había. Me llamó mucho la atención que lo hicieran después de lo que me habían dicho, pero... lo hicieron.

Figura 2: En Abril no quedaban más que 168 URLs de Gmail indexadas en Google

Pero, como yo sé que en esto del hacking con buscadores es más que sano y recomendable hacer las cosas también con Bing Hacking, me fui en Mayo a ver qué cantidad de URLs de Gmail quedaban indexadas en Bing, y había 121.000 direcciones.

Figura 3: En Mayo, había 121.000 URLs de Gmail indexadas en Bing.

Pues bien, ahora en Julio, si buscas en Bing podrás darte cuenta de que realmente algo ha pasado allí, y las URLs de Gmail se han perdido como lágrimas en la lluvia. 

Figura 4: URLs de Gmail indexadas en Bing en 20 de Julio de 2014

Al final parece que lo que al principio no parecía importante para Gmail, pasó a ser algo digno de solucionar, y lo han solucionado en Google y en Bing, para que luego digáis que Bing no es importante... ¡Si hasta Google se preocupa de él!

Saludos Malignos!

lunes, julio 21, 2014

Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fies nada de esa chica que te entra por WhatsApp

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo.

Figura 1: Badoo, una red para [...] tener una cita.

Una de las redes sociales en las que suelo mirar es Badoo, ya que, aunque aparentemente si no estás registrado no puedes ver a los miembros de esta comunidad y cuáles son sus comentarios, fotografías, con qué otros miembros interactúan, etc…, inspeccionando el fichero robots.txt de Badoo se puede observar que en él no aparece ninguna ruta sobre los perfiles de sus usuarios, y que por tanto los buscadores puede que accedan a esos datos.

Figura 2: El fichero robots.txt de Badoo no restringe los perfiles de los usuarios

Cualquiera podría pensar que dichos perfiles podrían estar indexados directamente en los motores de búsqueda, o que bien como le ha pasado en la historia a Facebook o Gmail esas URLs hubieran llegado allí por mala gestión de los enlaces y las opciones de indexación y caché de los buscadores así que directamente probé a buscar usuarios de Valladolid para ver qué información podría obtener de ellos en caso de que ésta fuera pública:

Figura 3: Resultados devueltos por Google tras buscar a gente de Valladolid

Por supuesto, si estás versado en el hacking con buscadores, la experiencia te deja claro que hay que buscar en Bing también, que algunos sitios limpian URLs en Google pero se olvidan de Bing, como ya le pasó a Facebook y también a la propia Gmail, aunque al final hayan borrado también allí.

Figura 4: Resultados de Valladolid en Badoo indexados en Bing

Tras consultar el primer resultado ofrecido por Google, pude comprobar que efectivamente era posible obtener información de los usuarios de la red aún sin estar dado de alta en ella:

Figura 6: Perfil de Badoo público, con comentarios en abierto y números de teléfono

Sorprende que además pueda observase cuáles son los mensajes que intercambian sus usuarios, ya que en alguno de ellos, como puede observarse se pueden obtener números de teléfonos personal de los usuarios de la red. Puede que pensaran que estaban poniendo un mensaje privado o simplemente que les de lo mismo, que la gente puede sorprendente siempre.

Llegados a este punto, el siguiente paso era aplicar un poco de ingeniería social, ya que si algunos usuarios habían mostrado tanto interés hacia un miembro de la red social dándole directamente su número de teléfono personal, sería más que probable que también usaran alguna aplicación de mensajería como por ejemplo WhatsApp y hacer algo como lo de buscar los perfiles de contactos en los programas de televisión nocturnos. Y efectivamente, tras añadir al usuario en mi agenda de teléfono pude comprobar cómo realmente éste era un usuario de Whatsapp y tenía una foto en su perfil.

Figura 7: El perfil WhatsApp de la persona que dejó el comentario en el perfil de Badoo indexado por Google

Para tener éxito en proceso de ingeniería social, es interesante recabar información de una víctima, así que, ya que disponía del número de su teléfono móvil, volví a consultar los buscadores a ver qué información mostraban en función del número de teléfono.

Figura 8: Un comentario en un foro dejando su nickname y su número de teléfono

Observamos cómo el usuario ha dejado el número de su teléfono móvil en más lugares por Internet y que también utiliza el alias prometeo_28; podemos inferir de este alias que su edad actual puede rondar los 36 años, ya que el año que en que dejé en mensaje de la figura anterior data de 2006.

Con toda esta información recabada, el último paso es muy sencillo, hacernos pasar por una chica de nombre Rocío y empezar a entablar una conversación para ir ganando su confianza y así que nos vaya suministrando fotografías comprometedoras e incluso la dirección de su domicilio…el límite lo pone tu imaginación.

Figura 9: El chat con prometeo_28

Observamos en la conversación de Whatsapp que es una persona soltera que ha empezado a trabajar esta semana, así que seguramente no aprobaría las oposiciones de bombero o quizás éstas no se convocasen, quién sabe. Lo mejor es que pregunta si me dio el número de teléfono. ¿Le decimos que se lo dio a todo el mundo al publicarlo en un comentario de Badoo y en un foro?

Si dejas mucha información tuya en Internet, cualquier día puedes tener un verdadero problema de seguridad en tu vida, y puede que te acaben estafando. Cuida tus datos personales como si fuera tu vida, que así lo son.... y cuidado con las chicas que te entran por chat...

Autor: Amador Aparicio
Twitter: (@amadapa)

domingo, julio 20, 2014

La Guardia Civil usa eGarante para denunciar delitos

Hace ya tiempo, desde que Yago Jesús (@YJesus) presentó su iniciativa empresarial eGarante para firma por un tercero de confianza de correos electrónicos y páginas web, que en los artículos de denuncia de acoso en Facebook o Twitter, o de la existencia de contenido en la red que sea en sí una delito, siempre recomiendo utilizar eGarante. Incluso para contenido que puede verse solo en sitios privados de las redes sociales o Evernote, existe un plugin que ayuda a firmar digitalmente lo que allí se muestre.


Figura 1: Funcionamiento de eGarante en 99 segundos

La solución es sencilla y fácil de usar por todo el mundo y de hecho el año pasado ganó el Premio ENISE a la mejor iniciativa emprendedora en ciberseguridad, debido a los valores de la iniciativa. A mí personalmente me gusta mucho desde siempre, y por ese le pedí incluso que integrara Latch en las cuentas del sistema, para tener mi cuenta con mi pestillo digital. 

Ahora ha sido el Ministerio del Interior de España, quién ha decidido respaldar un poco más la iniciativa, y todos los ciudadanos que deseen denunciar un contenido ilícito en la red, podrán utilizar eGarante desde el portal de denuncia del Grupo de Delitos Telemáticos de la Guardia Civil que hay en Internet.

Figura 2: Anuncio del uso de eGarante en las denuncias online de la Guardia Civil

Si ves un contenido ilícito, denuncialo usando eGarante. Si te están acosando por las redes, ya sea vía Twitter, Facebook, foros o cualquier otro medio, denúncialo usando eGarante. a través del formulario de denuncia online del GDT de la Guardia Civil. El contar con una evidencia digital firmada por un tercero de confianza siempre ayudará a la resolución del caso.

Figura 3: En el formulario de denuncia del GDT podrás usar documentos eGarante

Desde aquí, aprovecho para felicitar a Yago y sus colaboradores en esa iniciativa de eGarante, ya que creo que hace falta mucho emprendedor así en este país y les doy la enhorabuena por todos los éxitos que están consiguiendo.

Saludos Malignos!