miércoles, septiembre 30, 2015

Eleven Paths: From Scratch to Equinox Autumn 2015

Mañana comienza el mes de Octubre, y es el mes que tenemos marcado en Eleven Paths para enseñar a todos nuestros amigos, compañeros y clientes lo que hemos estado trabajando durante este año, que no es poco. Esta será la tercera edición de nuestro Security Innovation Day y ha pasado mucho desde nos juntamos los chicos de Informática 64 junto con algunos grandes profesionales como David Barroso, Palako, Olvido Nicolás, Dani Kachakil, Antonio Guzmán, además de una buena hornada de jóvenes Talentums.

Figura 1: Eleven Paths - From Scratch to Equinox Autumn 2015

Desde entonces se han incorporado los compañeros de SmartAccess, más hornadas de Talentum, los chicos de GesConsultores, los compañeros de Global Security, el equipo de Mobile Connect que vino de Telefónica I+D y nuevas incorporaciones que poco a poco van entrando. También algunos compañeros nos han dejado, y otros en Telefónica de España, Telefónica Ingeniería de Seguridad o los partners siguen trabajando con nosotros.


Figura 2: Eleven Paths, casi tres años juntos


Son muchos los compañeros que estamos implicados en este proyecto, con equipos en Londres, Málaga, Valladolid, Madrid y Valencia, pero también hemos tenido y tenemos compañeros en Buenos Aires, Sao Paolo, Bogotá, Miami o San Sebastian. Para todos ellos, el equipo de Diseño Gráfico, User Experience, Communications y todo lo que les pidamos a los pobres, nos han hecho este vídeo con fotos de los últimos años.

Equinox Autumn 2015

Además, Palako, ha organizado desde el jueves al medio día al viernes al medio día de la semana pasada un evento para hackers que quieren hackear. Un evento para que los ingenieros de Eleven Paths hagan durante 24 horas sus mejores hacks. Así pasaron toda la noche, trabajando, programando, durmiendo y divirtiéndose.


Figura 3: Equinox Autumn 2015


No todo son fiestas en Eleven Paths, que hay un jefe muy malo que les manda trabajar mucho. Como veis en el vídeo, Palako se llevó una de las camisetas menos deseada "My boss thinks I'm useless", pero lo hizo con todo el humor del mundo. Los ganadores fueron los chicos de Sinfonier que hicieron un hack muy chulo que os contaré en un post a parte, que merece la pena.

Figura 4: Palako con la camiseta de "Mi jefe piensa que soy inútil"

El año pasado, después de nuestro último Security Innovation Day, nos fuimos a cenar y les dije a todos lo que allí estaban que trabajar con ellos era lo mejor. Hoy, un año después de entonces, y camino ya de tres años desde el arranque de Eleven Paths, sigo pensando lo mismo. 

Saludos Malignos!

martes, septiembre 29, 2015

Los extorsionadores de Ashley Madison quieren 2.100 €

Cuando se filtraron los datos de los clientes de Ashley Madison vimos que rápidamente comenzaron a sufrir un hostigamiento que llevó a algunos al suicidio. El poder contar con detalles escabrosos de la vida de una persona, como sus gustos sexuales, fotografías comprometedoras o conversaciones subidas de tono que pudieran acabar en manos de familiares y amigos, llevaron a muchos a ver un negocio con estas personas que habían confiado su privacidad a una empresa de Internet que resultó no tomarse tan en serio la privacidad.

Figura 1: Los extorsionadores de Ashley Madison quieren 2.100 €

Cuando los datos se filtraron existía la posibilidad de que muchas de las cuentas fueran falsas o estuvieran manipuladas, pero la existencia de los datos de tarjetas de crédito cuando se compraban algunos de los servicios que ofrecía la red social para "Tener un Affair" las dudas se disipaban, ya que como había explicado el grupo de Impact Team que filtró los datos, aunque hubieras pagado por borrar tus datos, estos quedaban almacenados en la base de datos.

El correo de extorsión exige 10 Bitcoins (más o menos 2.100 €)

Ayer una de las personas que había pagado por uno de estos servicios me envió copia de uno de los correos electrónicos que recibió él, como usuario y cliente de los servicios de Ashley Madison, en el que se le extorsiona para no publicar su información personal entre familiares y amigos.

Figura 2: Primera parte del correo electrónico de extorsión de clientes Ashley Madison

Como se puede ver se exige una cantidad de dinero que debe ser satisfecha a través de una cuenta de BitCoins. En el mensaje se envía toda la información que se tiene del extorsionado, como los datos de la tarjeta de crédito - en este caso una Master Card -, la cantidad pagada por los servicios a la red social, y la dirección IP desde la que se hizo la transacción.

Figura 3: Segunda parte del correo de extorsión de clientes de Ashley Madison

Toda esa información quedaba grabada aunque se hubiera pagado por borrar los datos, como ya he dicho, así que los que tienen la base de datos - mucha, mucha, mucha, mucha gente - todavía seguirán utilizando esos datos en su beneficio.

Figura 4: Cambio de 10 Bitcoins a Euros

Mi recomendación es cambia toda tu información en las redes sociales - cambia nombre de tus cuentas en Facebook o Twitter-, deshazte de los correos electrónicos que usaste con anterioridad, deshazte de las tarjetas de crédito y sobre todo nunca contestes ni pagues, porque no tienes garantía de que no vas a volver a ser extorsionado en el futuro.

Saludos Malignos!

lunes, septiembre 28, 2015

Cuidado con los ofertones de AirBnb que te ofrecen

Hace unos días, David, un lector, me contó una historia de esas que demuestran que los malos siempre están dándole vueltas a la cabeza para enganchar a sus víctimas. En este caso se trata de una estafa clásica de "superoferta" de alquiler de casas... que luego no existen para nada, pero hecha a través de la imagen de AirBnB. Podríamos decir que es una estafa que hace suplantación de AirBnB con "cariño" y que los navegantes menos avezados seguramente colarán.

Figura 1: Cuidado con los ofertones de AirBnB que te ofrecen por la red

El negocio comienza con la creación de un apartamento gancho para alquilar por AirBnB. Para ello se utiliza un dominio que simula ser parte de AirBnb, en este caso AirBnB.Directory. De hecho, si navegas a la página inicial de ese dominio acabarás en el dominio oficial de la web de alquiler de casas ya que hacen una redirección. 

Figura 2: El piso en promoción en "AirBnb Directory"

Por lo demás, el piso está fenomenal. Tres camas, en Madrid, por 100 € es un precio más que jugoso como para que visitantes extranjeros de países en los que el uso de AirBnB es muy común tomen esta oferta como digna de ser aceptada. De hecho, el perfil tiene también valoraciones de otros usuarios que supuestamente han pasado por este inmueble y que valoran al dueño de maravilla. Todo perfecto.

Figura 3: Datos del perfil del Host
Figura 4: Reviews de otros huespedes

Cuando se decide hacer la reserva y se llenan los datos, llega un recibo "de AirBnB" por correo electrónico con un número de cuenta de dónde se debe hacer el ingreso para ya tener la confirmación de que se ha adquirido este inmueble.

Figura 5: El recibo que llega por correo electrónico

Pero ahí está la trampa. El correo hace un e-mail spoofing, es decir, una suplantación del origen para simular venir de AirBnB. Lo mejor de todo es que, para mantener la estética del recibo perfecta utiliza un fondo de página que carga de otro dominio, tal y como puede verse en esta sección del mensaje.

Figura 6: El fondo del recibo se carga de airbnb.sa.com

Accediendo a esa URL se puede ver que hay una aplicación web para crearse los recibos de AirBnB a gusto. Puedes elegir todos los detalles de lo que quieres poner en el recibo, lo que parece claro que es un sistema creado por una persona para hacerse su negociete estafando por foros en los que promocionará el enlace al piso oficial en la falsa página de AirBnB.

Figura 7: Aplicación web para hacerte tus recibos de AirBnB

En el recibo hay puesta una cuenta de LaCaixa, pero en el recibo que me envió David (gracias por la información), aparecía una cuenta de Bankia. Eso sí, en los dos casos aparecen los mismos datos referidos a la información del Host.

Figura 8: Datos para enviar el correo electrónico desde la aplicación de recibos

Por supuesto, si esto está bien montando, la cuenta estará a cargo de un mulero que lo único que hará es recoger el dinero y enviarlo a por algún servicio de transferencia de dinero internacional, como se ha hace en tantos y tantos esquemas de Fraude Online

Saludos Malignos!

domingo, septiembre 27, 2015

Doce Big Datas Sin Piedad con un Minority Report

Mañana tengo un juicio. Voy como imputado por un accidente que tuve con el Malignomóvil. Era un día en el que me encontraba muy nervioso, tenía un evento con Samsung en el que quería llevar a mi madre a verme y cuando estaba viniendo a por ella, con la emoción y las prisas, embestí por detrás al coche que estaba delante de mí, consiguiendo que al final se cambiara la aerodinámica frontal de mi máquina. A mí no me pasó nada más allá del susto emocional - y de soportar las risas de los mecánicos que me acababan de dar el coche hace unos días -, pero esta semana, el miércoles, recibí la citación para el juicio que se celebra este lunes. 

Figura 1: Doce Big Datas Sin Piedad con un Minority Report

Ésta no será la primera vez que me tenga que ver delante de un juez, que ya me ha tocado alguna otra vez por avatares diversos de la vida, y he de decir que no es nada bonito. De hecho, recuerdo una de esas veces como el peor día de mi vida y no me gustaría por nada del mundo tener que pasar por algo similar en el futuro. No se lo deseo ni a mi peor enemigo el tener que pasar las horas que pasé yo. Creo que envejecí 10 años en solo 18 horas. Tuve bastante.

El juicio de mañana espero que no sea tan complicado, aunque como siempre será un juicio. En ellos he tenido que estar de muchas formas, algunas de ellas lógicamente de perito informático, presentando algún informe pericial sobre algún caso. Nada fuera de lo normal, pero me da mucho respeto todo eso.

Figura 2: Cambio de aerodinámica en el frontal de mi Malignomóvil

Fue hablando de todas estas cosas mientras tomaba unas bebidas con un par de amigos viendo el fútbol ayer tarde, cuando el balón pareció entrar en la portería del equipo rival. No se pudo ver bien del todo, y el juez de línea no pitó gol. Os podéis imaginar el ruido ensordecedor del bar - de lo que ya ni me acordaba - cuando pasó esto.

Las conversaciones fueron de todo tipo, y por supuesto comenzamos a hablar del uso del vídeo en los partidos de Football Americano, o del uso de la tecnología para detectar si el balón había entrado o no, que ya tenemos más que solucionado ese problema.

Figura 3: El gol fantasma de Isco ¿entró o no?

En mi opinión, al final, parte del show en estos deportes es que existan estas cosas, pues como en el Pressing Catch, lo que vende es la polémica. Podemos llamar "juez" al hombre del banderín, pero me parece que su responsabilidad es mucho menor que la que tienen los jueces de verdad o los jurados populares. En ese momento me acordé de uno de los momentos que marcaron mi vida, y se lo narré a mis compañeros. Ésta es la historia - y la paranoia - que pasa por mi cabeza, que aprovechando las horas de tranquila nocturnidad os paso a desarrollar.

La televisión de 14 pulgadas

Cuando yo era un adolescente mi padre me llevaba a pintar pisos. Nos encargábamos de introducir el Gotelé en las casas de medio Madrid. Todos los fines de semana, desde muy joven hasta los 18 años en los que me monté mi propio "negocio" de clases particulares, yo me iba a ayudar a mi padre en las denominadas "chapuzas". Ahí tenía que ocuparme de las tareas de quitar los muebles, usar la espátula para quitar el papel pintado, poner cinta de carrocero en todos los elementos que no se pudieran quitar para que no se manchasen y después emplastecer. Mi padre venía con la máquina de Gotelé y dejaba las paredes "bien tupidas".

Luego se pintaban de pintura plástica un par de manos - teniendo en cuenta que la última había que hacerla a contraluz y que había que recortar con la pintura más líquida, para que por último yo tuviera que limpiar todo y volver a colocar los muebles. De hecho, hice un dibujo de mi padre en aquella época con nuestra marca "Pinturas y Barnizados Alonso"

Figura 4: "Seriedad, Limpieza y Profesionalidad".
Yo era la limpieza. Más de 20 años tiene este dibujo.

Cada fin de semana que yo trabaja con mi padre recibía la simbólica cantidad de 2.000 pesetas. Al fin y al cabo el dinero era para la casa, así que yo solo ganaba una cantidad simbólica que tuve que ir negociando poco a poco para llegar a las 5.000 pesetas por el fin de semana completo en la última época. Era poco dinero, pero me ese trabajo me sirvió para aprender muchos más valores que solo trabajar por dinero. Aprendí que hay que sacrificarse... y que mejor estudiar que estar pasando frío en invierno y calor en verano en una obra - algo a lo que los hijos de los obreros solemos estar destinados generación tras generación -.

Con el ahorro de algo de dinero conseguí uno de mis sueños, comprarme una televisión para mi habitación. Costó 19.500 pesetas, y era de 14 pulgadas con más culo que Kin Kardashian y con unos cuernos más grandes que los del diablo. No pasaba nada, tiré un cable y le pude poner una antena. La encendí... y tenía tele en mi cuarto. La había comprado yo. Era mía. La había pagado con mi dinero. Era solo una tele de 14 pulgadas sí, pero era mi puñetera tele de 14 pulgadas. La había pagado con mi trabajo.

Doce hombres sin piedad y sin big data

La primera noche me metí en la cama, encendí la tele y me puse a verla con admiración. No sé ni cuántas veces hice zapping, pero sí que sé que esa noche no dormí. Me pasé toda la noche, entera completamente, viendo la tele. Toda la noche viendo la tele. Me daba igual lo que fuera, quería verlo en mi tele de 14 pulgadas que me había costado 19.500 pesetas

No teníamos Canal Plus - qué más hubiera querido yo -, pero entre la programación de la 1 o las 2 de la mañana acabé dando con una película española que me impactó y nunca jamás he olvidado. Fue aquella misma noche, la noche en la que tuve mi televisión de 14 pulgadas por primera vez conmigo, cuando echaron la adaptación española de "Doce hombres sin piedad", una película de Henry Fonda, que ahora podéis ver en Youtube en este vídeo.


Figura 5: Doce Hombres sin piedad

La historia va del jurado de un juicio popular. No un juez de línea que tiene que decidir si un balón ha cruzado la línea de gol o no, sino de decidir el destino definitivo de una persona para siempre. Son 12 los miembros de un jurado los que deben debatir sobre la culpabilidad o inocencia de esa persona, que nunca aparece en pantalla. Todo parece apuntar a culpable al principio, pero hay uno de ellos que duda... y fuerza a los demás a revisar los detalles en profundidad. Duda, no por que tenga algo que le haga pensar que es inocente, sino por el mero hecho de que los resultados de su decisión serán de gran importancia.

Tras muchas tensiones, horas de debate y trabajo, al final todos descubren que era inocente. La tensión que sufrí esa noche viendo la tele, pensando en que la decisión de un jurado puede arruinar la vida de una persona, no la he superado nunca, por eso puedo decir que el peor día de mi vida ha pasado en un juicio.

Un Precognitivo o un Big Data

Hoy la televisión aquella ya no existe, pero la forma de hacer justicia no parece que haya cambiado mucho desde aquellos tiempos. Siguen siendo las personas las que tienen que tomar la decisión del designio de la vida de una persona. Pero... ¿será así en años venideros?

En Minority Report planteaban un futuro incierto, en el que los precognitivos fueran capaces no solo de decidir si una persona era culpable o no, sino además de predecirlo con antelación, acabando con lo que los humanos denominamos el Libre Albedrío, o la capacidad de decidir nuestro destino día a día con nuestros actos. 

Cuando vi aquella película, pensaba en un futuro dominado no por los precognitivos, pero sí por sistemas de información que permitieran a los cuerpos de seguridad detectar cuándo alguien iba a cometer un delito por los datos que los sistemas de información pudieran tener de él. 

Figura 6: Los tres precog, que bien podrían ser tres
algoritmos de predicción sobre Big Datas

Hoy en día, con la eclosión de las técnicas de Big Data, los wearables, las redes sociales, las técnicas de machine learning, de procesamiento natural del lenguaje, etcétera, estamos cerca de eso. Ya Facebook es capaz de detectar cuándo un usuario está contento o triste, por los mensajes que pone, la actividad que realiza, etcétera. Con los datos que pueda capturar de wearables, sumados a los datos de tu árbol genealógico y tu vida personal, podría llegar a determinar cuándo vas a morir, el siguiente paso natural es que las grandes corporaciones de Internet puedan a llegar a predeterminar cuándo alguien va a cometer un delito.

El Big Data de las redes sociales, de los grandes sistemas de Internet podrían convertirse en los nuevos precognitivos, y acabar por determinar que una persona va a cometer un delito. Eso sí, podría haber un Minority Report - que es lo que sucede en el caso de los Doce hombres sin piedad y en la famosa película de Tom Cruise -. ¿Qué debería hacer el Big Data? Cuando pienso en todas estas cosas que pasan por mi cabeza, reconozco que me da cierto desasosiego a mí también y más cuando sé lo horroroso que es estar siendo juzgado, sea quién sea quién te juzgue.

Saludos Malignos!

sábado, septiembre 26, 2015

Ejecutar FOCA en OS X & GNU/Linux

Como bien sabéis, nuestra queridísima maldita FOCA fue creada en .NET para ejecutarse sobre sistemas operativos Microsoft Windows, pero tiempo atrás nuestros amigos de HackPlayers hicieron una demostración de cómo era posible instalara la FOCA en Linux, utilizando solo Wine con tres plugins de WineTricks, como son dotnet20, gdiplus y fontfix, además de meter todas las DLLs que utiliza la herramienta. Ahora Omar Espino (Omespino) ha hecho una Prueba de Concepto de lo mismo, pero para sistemas OSX.

Figura 1: Ejecución de FOCA en OS X & Linux

Configuración de FOCA en OS X

El funcionamiento es bastante sencillo, basta con primeramente descargar FOCA desde la web de Eleven Paths, que tienes enlazado aquí: Descargar FOCA Final Versión. Después hay que conseguir las DLLs de las dependencias. Omar las ha recapitulado y publicado en un paquete que tienes disponible en Mediafire.

Figura 2: DLLs de dependencia de FOCA para OS X

Cuando tengas el paquete de FOCA descomprimido en tu OS X, debes descomprimir las DLLs y ponerlas en la carpeta BIN de la ruta de instalación de FOCA. Después instala WineBottler para OS X y trata de ejecutar FOCA.EXE.

Figura 3: WineBottler para OS X

Cuando intentes ejecutar FOCA.EXE, al tener instalado WINE en tu OS X, entonces saltará el asistente de WINE para preguntarte si quieres ejecutar una vez o hacer un paquete para OS X.

Figura 4: Asistente de Wine para ejecución de FOCA.EXE en OS X

En ese momento selecciona hacer un paquete y en el asistente de generación de paquetes introduce los tres WineTricks que son necesarios: dotnet20, gdiplus y fontfix.

Figura 5: Asistente de creación de paquete de FOCA. Selecciona los Winetricks necesarios.

Después de este punto, ya podrás ejecutar tu FOCA en OS X con total normalidad, tal y como se puede ver al final del vídeo tutorial que tenéis a continuación, que ha hecho Omar Espino.



Figura 6: Vídeo Tutorial de instalación de FOCA en OS X

Si queréis hacer la instalación de FOCA en Linux, el proceso es análogo, así que no hay más que seguir los pasos del tutorial de Hackplayers. Los ficheros de dependencia de FOCA para Linux que son los mismos, los tenéis en este enlace de Mediafire y aquí tenéis un pequeño vídeo tutorial de instalación de FOCA en Linux. Y si queréis sacarle partido a esta herramienta, ya sabéis que tenéis el libro de Pentesting con FOCA.

Saludos Malignos!

viernes, septiembre 25, 2015

La vida jugando al Poker: Cartas de amor o cartas de odio

Muchos de los que estéis leyendo este artículo probablamente no habréis enviado o recibido una carta manuscrita de nadie en vuestra vida. Seguramente habréis escrito la carta de los Reyes Magos o la de Papá Noel cuando haya tocado, pero puede que ni eso. Sin embargo, cortejar a una chica por carta como se hacía antes es muy complicado, sobre todo teniendo en cuenta que en el pasado eso de usar emoticonos aún no se entendía y puede que incluso alguna frase sea mal entendida o mal expresada, generando en la moza de destino la sensación contraria a la buscada - y ojo que hoy las mozas son de armas tomar -.

Figura 1: La vida jugando al poker: Cartas de amor o cartas de odido

Además, existe el problema de fondo de que la situación anímica personal puede meter cosas o leer cosas que no están en las cartas. Puede incluso que si la carta es comentada con una tercera persona añada algo a la percepción del destinatario que ni estaba en el mensaje original del emisor, ni estaba en la interpretación inicial del dueño de la misiva. Y por supuesto, cuando pasa algo de tiempo, se calman las sensaciones y se busca entender mejor al redactor, puede que el significado de la carta pase de ser negativo a una interpretación positiva del mensaje. Esa es la gran dificultad de la comunicación por carta, que puede ser bien interpretada o mal interpretada dependiendo de los factores.

Igualmente ocurre con las cartas de las que quiero hablar hoy, las cartas de esas de jugarse los dineros. Las cartas que los tahures mueven, acarician y conocen como si fueran sus niñas pequeñas. Los grandes jugadores, los que de verdad se arriesgan el pellejo y la cárcel, pueden poner nombres inclusive, a sus cartas más queridas.:
"Al AS de oros lo llamaré Macarena por esa sonrisa, al AS de Bastos Hugo, al de copas le voy a llamar Baco, por eso de las alegorías históricas, a la reina de corazones Leire, a la sota de picas Ariadne que siempre me guerrea las combinaciones, al AS de diamantes Mireia que siempre quiere todo y al comodín Linux, por eso de que me recuerda a Tux".
La desencuadernada la llamaban antaño, por eso de tener las páginas sueltas. Ya sea francesa, o española, lo cierto es que sirve para jugarse los dineros y a veces para atraer a la cierta - y no hace falta que os diga, que no hay cosa más cierta que una larga espera descansando los huesos dentro de unos años -. Las barajas de cartas se han utilizado para cubrir esa fase de salvajismo humano que surge de la avaricia, de la emoción del riesgo, o simplemente para suplir la falta de las emociones del corazón. Ya sabéis el dicho, afortunado en el juego, desafortunado en amores. Algo tendrá que ver en todo esto. 

Con la llegada de Internet, con la llegada del mundo online, las timbas de los tahures de cartas de corazón roto se han expandido urbi et orbe, y el número de sitios en los que los jugadores se dejan sus perricas son muchos. Muchos y muy golosos. Ahí en cada partida también te llegan cartas, aunque en esta vez en forma de pixeles que se aglomeran en figuras luminosas para formar una escalera, un poker o un color. Yo que soy muy mal jugador, cuando las recibo, suelo caer en la mala praxis de no ver las cartas que tengo en su contexto, sino en su parte más intrínseca, lo que me lleva a evaluar algo como Bueno, Malo, Regular o Esto es para un All-IN.

Los grandes jugadores de cartas no hacen eso, y controlan sus apuestas evaluando el contexto. Las cartas, como las que se escriben de amor o de odio, no son buenas ni malas. Puede incluso que una carta de odio no signifique más que una persona que necesita más cariño que nunca, al igual que puede que una apuesta desmedida con una jugada no esconda más que malas cartas. Los grandes jugadores saben aguantar hasta el final, sacando lo mejor que llevan en la última baza - aunque a veces sea tarde para ganar la mano esperar tanto -. El contexto es fundamental.

Absolute Poker: Mirar las cartas de los rivales por bugs en el cifrado

Y no hay nada que te de una mejor perspectiva del contexto que conocer las cartas de tus rivales. No hay como tener las cartas marcadas para saber si tu jugada es buena, mala o regular. Ojo, que aún sabiendo las cartas de tus rivales hay que saber sacarles dinero. En el mundo físico, las cartas se marcan, se espían, se cuentan, etcétera, pero en el mundo digital hay que verlas. Hay que copiar los datos que se transmiten o los píxeles que se muestran a los contrincantes de tu jugada. Y para ello, nada mejor que un buen troyano.


Figura 2: Capturando las cartas de Absolut Poker por la red

En Absolut Poker, uno de esos casinos de la red, hace tiempo se descubrió que era posible ver las cartas cuando se distribuían por la red, debido a que el sistema de cifrado que se utilizaba era un XOR, tal y como se ve en el vídeo de arriba.

Troyanos que hacen cartas malas buenas, y cartas buenas malas

Pero las vulnerabilidades nacen, se descubren, se publican y mueren, hasta que vuelve a nacer otra nueva pero el proceso puede ser lento y laborioso. Por otro lado, los troyanos pueden ser fáciles, y se pueden enviar de forma dirigida a tus víctimas. Hacer un software que detecte cuándo se está jugando en un casino y avise a un panel de control de un tahúr de la red es bastante sencillo. Solo debes buscar el programa adecuado, meterle tu troyano, y distribuirlo por los foros de los jugadores con cariño.
En el 2010 ya tuvimos las primeras noticias de esto, procedentes de Corea del Sur, donde el South Korea's Cyber Terror Response Center puso a la sombra a un grupo que se había montado su negocio de Fraude Online de esta manera tan lúdica. Lo que hacían en Corea del Sur era infectar los equipos de los cibercafés en los que sabían que la gente jugaba al poker online y listo. 

También vimos en 2013 otro negocio de ganar dinero espiando las cartas de los oponentes con otro troyano, en este caso llamado Poker Agent que se distribuía por medio de los muros de Facebook de los jugadores de poker. Viralización máxima por los canales adecuados.

Figura 4: Infografía de ESET sobre el funcionamiento de PokerAgent

Este mismo es el negocio que han utilizado los creadores y usuarios del troyano Odlanor pensado para ver las cartas de los oponentes que juegan en los sitios PokerStarts y Full Tilt Poker. Lo que han hecho ha sido troyanizar aplicaciones en las redes P2P, además de centrarse en apps que utilizan mucho los jugadores de este tipo de cartas, como son las famosas calculadores de poker

Estas calculadoras de poker lo que hacen es ayudar a ver cuáles son las probabilidades de que ganes o no una determinada partida en función de las cartas que tienes, las cartas que se han tirado, las cartas visibles, y las apuestas hechas. Es decir, analizan el contexto para decirte si tus cartas son de amor o tus cartas son de odio. Vamos, que casi juega por ti. En los foros de jugadores de poker se comentan, se discuten, se pasan entre sí las mejores, etcétera. Es decir, es un nido de promiscuidad para los archivos binarios de dudosa procedencia que pueden acabar por infectar masivamente a jugadores de poker desprotegidos. Cuida tu Windows.


Figura 5: Tournament Shark, una calculadora de poker pirateada que se redistribuía con infección


Esto es lo que ha hecho Odlanor, infectar muchas calculadoras y tener muchos jugadores a los que ver las cartas para que los dueños del C&C puedan verlas en tiempo real y ganar partidas, y por ende dinero, de los pobres jugadores que miran sus cartas con cariño y devoción. No es la primera vez que vemos troyanos para el poker, ni seguro la última pero esta idea de usar las apps de los propios jugadores ha sido más que curiosa. ¿Habrán hecho lo mismo con las calculadores de poker de los sistemas móviles? Habrá que echarle un ojo a ver qué sale por ahí.

Y para acabar esta historia, recuerda que las cartas hay que leerlas varias veces antes de asumir que son buenas o malas, que hay que ponerlas en su contexto. Puede que al principio parezcan malas... y con un poco de tiempo descubres, que eran bastante buenas... aunque si no fuiste en esa mano, tal vez no tenga solución. Así es la vida jugando al poker, si vas sin red troyano , puedes perder todo.

Saludos Malignos!

jueves, septiembre 24, 2015

Evil FOCA: Liberada bajo licencia Open Source

El proyecto de Evil FOCA se comenzó a fraguar hace tiempo en el SOCtano de Informática 64. El objetivo era hacer una herramienta similar a CAIN para IPv4, pero centrada en IPv6. Se desarrollo en .NET y utilizando los drivers de Winpcap para que sobre ella se pudiera hacer correr cualquier sniffer como WireShark. Al final, con mucho trabajo a lo largo del tiempo se consiguió tener una herramienta que implementa una buena cantidad de ataques en IPv6 y que tenéis descritos en detalle en el libro de Ataques de Redes IPv4&IPv6 donde toda la parte de IPv6 la he re-escrito yo recogiendo todos los ataques que fuimos añadiendo.

Figura 1: Evil FOCA es ahora Open Source

Para entender mucho mejor las principales características, yo os recomiendo que veáis las demos que hice en la charla de DEFCON 21 titulada "Fear the Evil FOCA: IPv6 Attacks in Internet Connections", donde se explican algunos de los principales ataques que se pueden hacer con esta herramienta además de que se realizan varias demos de ellos.


Figura 2: Fear the Evil FOCA - IPv6 Attacks in Internet Connections

La lista de ataques completa que se pueden realizar tanto en protocolos IPv4 como protocolos IPv6 porque a día de hoy ya están implementados la tenéis en la descripción de Evil FOCA en la web de Eleven Paths.

Para que sea más didáctico aún, os resumo en esta pequeña lista algunos de ellos con enlaces a algunos tutoriales de lo que se puede hacer en la parte de IPv6:
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Hackeado en IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Ataque de Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes IPv6
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6)-HTTPs(IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
Sin embargo, el mundo de IPv6 y los ataques de redes a ellos va creciendo y hay muchos de ellos que no se han implementado porque ahora en Eleven Paths no está entre nuestras prioridades.

Figura 4: Evil FOCA en GitHub

Dicho esto, habíamos recogido una buena lista de cosas que meter en Evil FOCA que no hace en IPv6 a día de hoy, como por ejemplo lo siguiente, que puede ser útil en una auditoría:
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Implementación de Iddle Port Scanning con IPv6
- Detección de IPv6 en Internet: Cada vez hay más sitios
- Detección de Happy Eyeballs en la red
- Test de conectividad IPv6 a Internet
- Ataque ICMPv6 Redirect: man in the middle a Android, OS X & iPhone
- Implementación de ataques "Delorean" a HSTS
- Ataques DOS a apps vulnerables a Ping Of Dead IPv6 (son muchas ya)
Ya nos habían pedido acceso al código para implementar alguno de estos ataques o para hacer algún Trabajo de Fin de Carrera, Master o Grado, así que hemos decidido liberarla con licencia Open Source en un GitHub dentro de un conjunto de actividades y lanzamientos que vamos a ir contándoos en breve y que terminarán por explicarse todas durante el próximo 8 de Octubre en el Security Innovation Day.

Saludos Malignos!

miércoles, septiembre 23, 2015

Cocinar una RAT {o Ransomware} para Windows (2 de 2)

En la primera parte de este artículo vimos lo sencillo que es inyectar un backdoor en un binario y ahora faltaría pasar a la fase de ejecución de los binarios maliciosos en la máquina de la víctima. Aquí en el mundo real existe una gran miriada de opciones que pueden ir desde adjuntar el shellcode como hemos hecho a un programa que el usuario quiera instalar - como el crack de un juego en la red P2P o un compilador para hacer aplicaciones para la AppStore -, a enviarlo por correo electrónico en una campaña de spam que adjunte el binario con alguna técnica de ingeniería social - como la de los paquetes de correo o las notificaciones de hacienda - o que lleve un enlace para descarga del mismo, o hacernos con nuestro propio Kit de Exploits y usar los bugs que sean posibles para ejecutarlo a través de los navegadores menos fortificados. Este es el juego del gato y el ratón entre el atacante y el sistema fortificado de la víctima (o no).

Figura 1: Cocinar una RAT {o Ransomware} para Windows 2ª parte

Sea como fuere, una vez que se consigue la ejecución, la víctima entrega todo los permisos de su sesión de usuario en su sistema operativo al binario. No sale ninguna alerta como en Android que te diga cuáles van a ser los recursos a los que va a tener acceso, tipo webcam, geo-localización o sistema de ficheros. No es necesario.

Figura 2: Máquinas de trabajo en la red de esta Prueba de Concepto

Todos los binarios que se ejecutan en el sistema tienen acceso a todas las partes a las que tenga acceso el usuario. Por eso es tan importante fortificar las cuentas que se utilizan para trabajar en Windows aprovechando todas las medidas de protección que tiene Windows.

Obtención de Shell y Elevación de Privilegios

Como vemos en la captura, una vez que el programa se ha ejecutado y en la terminal hemos establecido la conexión que automáticamente ha migrado a notepad.exe. Ahora tenemos la sesión pero necesitamos escalar privilegios para poder crear la persistencia. Si no fuera así una vez el usuario cerrara sesión perderíamos nuestra conexión.

Figura 3: Control de sesión en la máquina víctima con un Meterpreter

Destacar que Meterpreter trae infinidad de payloads pero la mayoría son detectados por los antivirus a la hora de subirlos a la máquina de la víctima. Por esta razón usaremos otro método para escalar privilegios como veremos en la captura (¡Gracias Pablo por compartir tu sapiencia sobre Metasploit!)

Figura 4: Elevación de Privilegios con exploit ms14-058

El resultado de la explotación nos devuelve otra sesión que podríamos configurar a nuestro gusto pero en este ejemplo hemos dejado por defecto. Por supuesto, si este sistema estuviera totalmente actualizado deberíamos esperar o buscar un nuevo método de elevación de privilegios. No obstante, aunque fuera con los permisos del usuario en el sistema seguiríamos teniendo control de la máquina. En este caso ha funcionado, así que comprobamos que realmente estamos con una sesión iniciada como usuario System.

Figura 5: Ejecución de la shell como usuario System

Aunque el comando getuid nunca falla, nada mejor que comprobarlo con una de las maravillas de Metasploit para sacar la contraseña en plano de la memoria de los usuarios conectados al sistema

Figura 6: Ejecución de Mimikatz para sacar usuarios y contraseñas. Solo funciona como System.

Hasta aquí tenemos control total sobre la máquina, pudiendo como ya se ha dicho grabar audio, vídeo, acceder al contenido completo del disco duro y dispositivos externos, ver el tráfico de red, volcar la memoria RAM, etcétera. Aquí, tendríamos una RAT completa ejecutada en el sistema, que podemos usar para hacer lo que queramos, como por ejemplo cifrar los archivos al estilo de un Ransomware o grabar en webcam al estilo de los sextorsionadores (¿Has tapado ya tu webcam para evitar el CreepWare?)

Obtención de persistencia en el sistema

Ahora, para conseguir una RAT permanenente en el sistema solo nos queda crear la persistencia para que con el reinicio del sistema no se pierda el control de este equipo. Como decía anteriormente, el script de Metasploit está mas que detectado por los antivirus así que usaremos nuestra segunda backdoor. La subimos al sistema con el comando upload de Meterpreter.

Figura 7: Subida del segundo binario creado en la primera parte de este artículo

Una vez subido, vamos a modificar las claves de registro para que inicie con el sistema.

Figura 8: Modificación de claves de registro para lograr la persistencia

Ya solo queda probar que realmente inicia la backdoor con el sistema. Con el comando reboot reiniciamos la máquina de la víctima y automáticamente vemos como al iniciar sesión el usuario vuelve a conectarnos automáticamente

Figura 9: Reinicio del sistema y obtención de shell otra vez

Por supuesto esto deja huellas en el sistema y podemos verlo con la herramienta msfconfig del propio sistema operativo de la víctima donde se ve que hay una nueva entrada en la ejecución inicial de Windows.

Figura 10: Entradas en Inicio de Windows vistas en msconfig de la víctima

Y para finalizar le mandamos un mensaje mediante una ventana emergente usando la poderosa herramienta railgun que nos proporciona Metasploit. Por supuesto, toda esta prueba de concepto se ha realizado en un entorno de máquinas virtuales totalmente bajo control.

Figura 11: Envío de mensaje a la máquina de la víctima vía Railgun

De esta manera se demuestra cuan inseguro puede llega a ser un ejecutable que no sabemos su procedencia, aun así teniendo un antivirus actualizado. Por supuesto la idea no es que un antivirus no sirva de nada, ya que si no lo tuviese la víctima todo sería aún mucho más sencillo. Hay que tener en cuenta que estamos hablando de un ataque dirigido y no masivo. Una de las fortalezas de los antivirus es la detección temprana de ataques masivos, con lo que la detección de una primera víctima ayuda a proteger al resto de los usuarios. En un APT el malware se crea sabiendo ya cuál es el antivirus de la víctima y habiendo hecho los deberes para saltárselo ya. Para luchar contra los APT hay que usar otras tecnologías.

Figura 12: Mensaje mostrado en la máquina de la víctima.

Recomiendo la lectura de Metasploit para Pentesters de Pablo González, donde un maestro del pentesting nos detalla muy bien una intrusión completa usando este famoso framework y si tenéis oportunidad, apuntaos a su próximo curso Online que comienza el próximo 2 de Octubre.

Un saludo!

Autor: Juan Felipe Díaz @JuanFelipeDV
SecForYou.com

martes, septiembre 22, 2015

Cocinar una RAT {o Ransomware} para Windows (1 de 2)

Existen muchas maneras de comprometer un sistema operativo Windows, pero quizás la más sencilla sigue siendo mediante ingeniería social. Ejecutar un archivo en tu equipo no deja de poner en peligro tu sistema si no tienes la suficiente confianza en la fuente. Eso es lo que han aprovechado en el pasado, y siguen aprovechando a día de hoy, las campañas de Ransomware y los ataques que se utilizan para meter las famosas RAT (Remote Administration Tools) en auditorías de seguridad.

Figura 1: Cocinar una RAT {o Ransomware} para Windows

Mediante esta pequeña Prueba de Concepto (PoC) veremos una manera rápida y muy sencilla de comprometer un sistema corriendo con Microsoft Windows 7 para que los que están empezando en este mundo de la seguridad entiendan algunos conceptos básicos del funcionamiento de Windows y de Metasploit. Básicamente usaremos un archivo .exe para adjuntarle una shellcode de meterpreter y posteriormente haremos una escalada de privilegios para asegurar la persistencia de nuestra backdoor y tener acceso permanente. Las herramientas usadas en el proceso serán Shellter y Metasploit en Kali Linux.

Proceso de Construcción del Binario Malicioso

Lo primero que vamos a hacer será configurar el servidor donde recibiremos la shell de meterpreter. Si elegimos recibirla en una distribución Kali Linux nos ahorraremos todo el proceso de instalación del framework de Metasploit pero tendremos que configurar un servicio de NO-IP para re-dirigir el tráfico a la dirección IP dinámica que tengamos en cada momento.

En mi caso he preferido usar un VPS que tengo para trastear bastante económico y realmente recomiendo esta opción, ya que estará disponible 24H y lo podemos aprovechar para otras cosas. Yo os recomiendo RamNode por su bajo precio. Recordad que Metasploit necesita al menos 1GB de RAM para funcionar sin problemas.

Una vez conectado por SSH e instalado el framework de Metasploit, configuramos el handler con el puerto por el que escucharemos la conexión, ExitSessionOn en false para que no cierre la escucha una vez recibida y AutoRunScript 'migrate -f' para que migre automáticamente a otro proceso. Finalmente lo dejamos ejecutando

Figura 2: Arranque de Metasploit en un Kali Linux montado en el VPS esperando una shell

Pasemos a configurar los ejecutables. Yo he usado la herramienta para escanear dispositivos en red WnetWatcher de Nirsoft para adjuntarle la shellcode. Aquí el atacante usaría un ejecutable que se supone que la víctima ejecutaría sin sospechar. Haremos dos versiones finales del troyano, una ejecutará la herramienta de Nirsoft con la shellcode para no parecer sospechoso y la otra simplemente lanzará la ejecución de la shellcode. Este último será el que cree la persistencia en el sistema operativo comprometido.

Ejecutamos Shellter con Wine y nos va a pedir los siguientes parámetros y ya tendremos nuestro ejecutable modificado y listo:
Operation Mode → Auto
PE target → Ruta del ejecutable original
Enable Stealth Mode → Y (Ejecutará WnetWatcher además de la Shellcode)
Use a listed Payload or Custom → L
Select a payload by index → 1
Figura 3: Configuración de Shellter. Paso 1
Figura 4: Configuración de Shellter. Paso 2
Figura 5: Configuración de Shellter. Paso 3
Figura 6: Configuración de Shellter. Paso 4

Ahora toca crear el segundo que solo ejecutará la shellcode, ya que será el que se inicie con el sistema. Lo único que cambia con el anterior es la opción stealth, donde pondremos N, quedando de la siguiente manera:
Operation Mode → Auto
PE target → Ruta del ejecutable original
Enable Stealth Mode → N (Solo ejecutará la Shellcode)
Use a listed Payload or Custom → L
Select a payload by index → 1
Figura 7: Creación del segundo binario con Shellter

Verificación de los binarios con el Antimalware de la víctima

Ya tenemos el servidor y los ejecutables configurados. Para no confundirnos con los ejecutables, el que ejecuta el programa WnetWatcher lo llamaremos WNetWatcher_cracked.exe y el que solo ejecuta la shellcode se quedará como WnetWatcher.exe.

Figura 8: Binarios creados con las Shells dentro

Analicemos los ejecutables con el mismo antivirus que tiene la víctima instalada. En este caso usa una versión de Avira para comprobar si van a ser detectados o no. Conocer los antivirus que se instalan en un equipo es parte de la información que se debe tener, y esto se puede sacar de muchas formas, como por ejemplo usando DNS Cache Snooping buscando los dominios de actualización de las bases de firmas de cada antivirus.

Figura 8: Verificación con Avira del primer binario. No detectado.

Figura 9: Verificación del segundo binario con Avira. No detectado.

Hasta aquí se ha visto que es bastante sencillo generar dos ficheros maliciosos que tengan shells para controlar un sistema informático. Por supuesto, quedan muchas derivadas hasta terminar esta prueba de concepto y en un entorno fortificado habría que salvar todavía muchas medidas de seguridad - si la empresa ha hecho los deberes -.

Habrá que conseguir llevar este fichero hasta la bandeja de entrada de la víctima, consiguiente para eso pasar las políticas de seguridad del correo electrónico de la compañía, las tecnologías antispam/antivirus que tengan en el servidor de correo, conseguir que el usuario caiga en un engaño de spear phishing (o spam masivo con trucos como los de correos o paquetes), y luego que el equipo no tenga una fortificación extra en Windows con un firewall que evite las conexiones externas.Ya veremos más mañana en la segunda parte.

Un saludo!

Autor: Juan Felipe Díaz (@JuanFelipeDV)
SecForYou.com