domingo, julio 31, 2022

Cómo configurar un NFT en tu perfil de Twitter

El equipo de Twitter ha puesto en algunas ubicaciones del mundo la posibilidad de configurar un foto de perfil basada en un NFT, es decir, un activo digital firmado en una cade de bloques de BlockChain que se pueda cargar en la red social. Como nosotros estamos trabajando mucho con los equipos de innovación de Twitter, a algunos miembros del equipo nos han configurado esa opción, y yo quise probarla el viernes.

Figura 1: Cómo configurar un NFT en tu perfil de Twitter

Yo no tengo comprado ningún NFT, pero me han regalado alguno, así que tengo en mi wallet un par de ellos, que quería probar. Uno de ellos es un Blockchain Gobblins del gran Nikotxan que me regaló a cambio de ponerme a mí en la colección, así que me fui a probar el proceso con los dos NFTs que tengo.


El proceso es bastante sencillo, ya que cuando seleccionas la foto de perfil de tu cuenta de Twitter te sale la opción de seleccionar un NFT, así que basta con que hagas eso.

Figura 3: Configurar un NFT como foto de perfil en Twitter

Luego, el resto es sencillo, se abre tu wallet, en mi caso tengo los NFTs en una Metamask donde puedo ver que uno de ellos no lo tengo con el formato correcto para este proceso, y no está disponible.

Figura 4: NFTs en mi wallet de Metamask

Entiendo que es porque este NFT, que os publiqué en mi cuenta de Instagram - y que lo podéis ver en OpenSea - no es una imagen, sino un vídeo en movimiento, y no está disponible este formato en concreto aún. Ya miraré más sobre ello.


Una vez que lo seleccionas, el resultado es que sale tu imagen de perfil de Twitter con este activo digital en forma de NFT configurado, y te da la opción de compartir un Tweet con esta información. Algo que yo hice.

Figura 6: El NFT configurado en mi perfil de Twitter

Lo que sucede es que, cuando alguien ve tu foto de perfil, si es un NFT, Twitter da una formación extra sobre él. Especialmente quién es el creador, y cuál es la dirección del SmartContract que está relacionado con este NFT en concreto para que lo puedas revisar.

Figura 7: Información del SmartContract del NFT que se ve en Twitter

Creo que aún nos queda trabajo para entender el valor de estos NFTs, y que hay mucho que hacer aún con el registro mundial de activos digitales en los mundos y plataformas virtuales, pero que Twitter haya dado este paso es un claro ejemplo del mundo al que nos dirigimos de cabeza con todas las tecnologías Web3.

El objetivo, al final, es crear las famosas estructuras descentralizadas (Dapps) para las plataformas de servicios de Internet que consumamos en el futuro,  dando más control a los usuarios de todos los datos, de su identidad completa, del control de una economía liberalizada, y de todos los activos digitales que posea. Arquitecturas 100% distribuidas basadas en Blockchain, SmartContract, Tokens, Tokenomics, NFTs, etc... Veremos dónde nos lleva.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, julio 30, 2022

Entrevista a JMFerri, autor de las novelas de hackers: "Jinetes en la Tormenta" & "La chica del sombrero negro" de @0xWord

Hace poco os informé de la disponibilidad a la venta el nuevo libro de JM Ferri, titulado "La chica del Sombrero Negro" y que es la segunda parte de la trepidante historia del grupo de hackers de  Jinetes en la Tormenta, que es un thriller tecnológico con aroma a novela negra que mantiene el ritmo trepidante y sorprendente de su predecesora.

Figura 1: Entrevista a JMFerri, autor de las novelas de hackers.

Para hablar de sus dos novelas sobre este grupo de Hackers, tituladas  Jinetes en la Tormenta" y "La chica del Sombrero Negro", su autor, JM Ferri, estuvo en la pasada OpenExpo Europe 2022 donde lo entrevistó nuestro compañero Jorge Branger, y aquí podéis verla.


Sobre la última novela en concreto, donde yo he tenido la suerte de leer de los primeros y revisar - además de poder participar con un pequeño texto en el prólogo - vamos a seguir contando con nuestro grupo de hackers como protagonistas de una historia que colea de la anterior, y se mezcla con una nueva amenaza, una chica de sombrero negro.

Figura 3: "La chica del sombrero negro" (Jinetes en la Tormenta II)

Aquí tienes la portada que tendrá "La chica del sombrero negro (Jinetes en la Tormenta II)", y el animatic del vídeo, que se hizo para anunciar el libro. En esta novela, Lorena CruzLynx y Tejeda vuelven a explorar sus límites en una trama intensa desde el principio.

Figura 4: Vídeo presentación "La chica del sombrero negro (Jinetes en la Tormenta II)"

Toda la trepidante historia de Jinetes en la Tormenta, que te atrapa desde la página uno en la que protagonista tiene que empezar a luchar por su vida en las calles de Madrid, hasta el final con una operación de hackers luchando contra un enemigo muy poderoso. Toda una historia que te bebes en un fin de semana seguro.
El libro lo tienes disponible en 0xWord Pocket, y lo puedes comprar desde hoy mismo para disfrutar la historia, de la que puedes tener algo más de información en este vídeo y estas opiniones.

" Una apacible mañana en la tranquila existencia de Roberto González traerá de regreso a los fantasmas de su pasado. Tras leer una trágica noticia en uno de los principales diarios nacionales, se verá obligado a luchar por su vida en una frenética carrera por las céntricas calles de Madrid. Policías, espías, criminales y hackers informáticos formarán parte de este cóctel con porciones de novela negra, thriller, suspense y algún que otro chorrito de mala leche. Un libro para disfrutar del tirón.

Figura 6: Jinetes en la Tormenta 2ª Edición en 0xWord

 “… una novela negra de acción, con mala leche, que mezcla espías malos, y ritmo desde el minuto uno a la última página. Es más, si te haces con ella raro será que te dure más de un fin de semana…” Chema Alonso

“… nos encontramos ante una tormenta corta pero intensa. Una ópera prima que demuestra que detrás hay talento y trabajo…” Blog negra y Mortal

“Desde el principio los acontecimientos se precipitan y se intenta mantener ese ritmo prácticamente hasta el final de la novela. Contiene algunos momentos más pausados, pero lo justo para poder beber agua.” Blog Denmeunpapelillo 

Esta es el nuevo libro de 0xWord Pocket, donde editamos novelas a autores que quieren contarnos historias diferentes. Empezamos esta "locura" de camino con la publicación de la historia de "Hacker Épico" de Alejandro Ramos y Rodrigo Yepes que conseguiría dos premios, luego seguimos con las historias de Cluster y Crime Investigation de Felipe Colorado, después vendría Got Root: El poder está en la mente de Pablo González, y A hack for the Destiny: El futuro siempre vuelve de Sergio Sánchez.

¡Saludos Malignos!

viernes, julio 29, 2022

La Jaula del N00B: Un podcasts sobre fraude, ciberestafas, cibercrimen, hacking, y seguridad informática #podcast

Desde México, Héctor López, Paul Mendoza y Debug Sec hacen un podcast llamado "La Jaula del N00B", donde se habla de hacking, ciberseguridad, peritaje informático, red teams, estafas, ciberdelito, seguridad informática en general. Un podcast donde hablan con amigos y conocen gente.

Figura 1: La Jaula del N00B: Un podcast de Fraude y Ciberestafas

Durante un tiempo, a través de sus perfiles de MyPublicInbox han hecho una gran comunidad de hackers y expertos en ciberseguridad en la plataforma que han visitado su podcast, y entre ellos, Juan Carlos Galindo, autor del libro de "Ciberestafas: La historia de nuca acabar".
El otro día han publicado la entrevista que le hicieron y la he subido a mi canal de Youtube para que puedas ver la entrevista, y entretenerte un rato mientras que aprendes más sobre este mundo de las estafas, el fraude y el ciberdelito en general.


Figura 3: La jaula del N00B con Juan Carlos Galindo

Además, si te apetece, puedes escuchar los episodios de "La Jaula del N00B" en Movistar Home, tal y como puedes ver en la primera imagen de este artículo con decir: "OK Aura, quiero escuchar el podcast de la jaula".
Y como no, también en Ivoox, donde tienes todos y cada uno de los episodios disponibles. Échale un ojo a la lista de invitados, verás que por él han pasado gente como Vicente Aguilera, autor del libro de "OSINT: Investigar personas e identidades en Internet" o Jezer Ferreria, fundador de OSINTOMATICO
Y si quieres participar o colaborar con "La Jaula del N00b", no dudes en ponerte en contacto con ellos a través de sus perfiles de MyPublicInbox.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, julio 28, 2022

La década de Yahoo! en el trono de la Web

El otro día vi un vídeo de esos que hacen estadísticas sobre todo, aprovechando los datos de webs como Statista, y me sorprendió ver lo que mostraba. Se trataba de ver el TOP 10 de webs con más tráfico desde el nacimiento de Internet hasta hoy en día. Los datos se muestran mes a mes y pensé que no me iba a sorprender lo que viera, pero.. sí, sí que me sorprendió.

Figura 1: La década de Yahoo! en el trono de la Web

Saber que Yahoo! había sido el WebSite con más tráfico no era algo nuevo para mí. Estuve invitado a la Yahoo! Security Week allá por el año 2009 y pude conocer de primera mano mucha de la grandeza de esa compañía. Según los datos, alcanzó el número 1 de los WebSites más visitados en el año 2.000. En Junio del año 2.000. Cuando yo cumplía 25 años. 

Está claro que Yahoo! es la ganadora de la llamada época de las ".COM", donde los portales horizontales y verticales comenzaban a inundar la red. Portales de contenido. Contenido creciendo de manera exponencial. Y como consecuencia, los buscadores, para que los usuarios llegaran de la forma más rápida a la información más precisa.

Figura 2: Top 10 de Junio de 2002

De aquella época de las .COM, con las arquitecturas de aplicaciones de tres capas, que venían con sus servidores de base de datos Oracle, sus servidores de aplicaciones en entornos como BEA WebLogic con frontales HTTP/S, y sus servidores SUN Microsystems. Una época donde las empresas ganadoras parecían auténticos monstruos que iban a ser los reyes durante mucho tiempo.

Lo cierto es que en aquella época, los datos de tráfico web son bastantes "pequeños" comparados con los que tenemos hoy en día. En aquellos momentos aún no había llegado la movilidad, no habían llegado las apps, y las nuevas formas de utilizar Internet. Lejos estaba la Web 2.0 aún. Estábamos en ".COM", a los pocos años de haber nacido la World Wide Web.

En el año 2006, justo en los albores de la Web 2.0 y la llegada masiva de la movilidad, de iPhone, el 3G, y las redes sociales con clientes móviles, Google consiguió adelantar un mes en tráfico a Yahoo!, pero volvió a ponerse por delante, y en Junio de 2006, Yahoo! estaba otra vez en al cabeza. Ya no hablábamos de .COM. Ya Sun Microsystems no era tampoco la empresa que había sido antes. Y tampoco la forma de hacer aplicaciones. 

Figura 3: Top Ten en Mayo de 2006

Ya no hablábamos de arquitecturas en tres capas, sino de BigData, de High Perfomance Computing, y los albores del Cloud Computing. Acababa de nacer apenas unos meses atrás AWS, proponiendo una nueva forma de hacer aplicaciones escalables, además de ver que el interfaz web iba a dar cada vez más paso al Internet móvil. Pero Yahoo! aguantó en la web.

Figura 4: Top Ten en Junio de 2010

Y aguantó hasta el año 2010Junio de 2010 y Yahoo!, ya con números de 11.5 B de usuarios por mes, seguía aguantando a Google en la cabeza de lista. Ya estaba, como podéis ver, FacebookAmazonYoutube y Google, apretando los números.  Y desde ahí, Yahoo! ha ido perdiendo tráfico. 

En Enero de 2022, el Top 5 lo forman Google, Youtube, Facebook, Twitter e Instagram. Y Yahoo! aguanta con 3.5B , mucho menos de lo que llegó a ser, peleando por no ser adelantado por XVideos, y sobre todo teniendo en cuenta que Google va por 90B de usuarios mes. Un crecimiento brutal.

Figura 5: Top Ten en Enero de 2022

Sin embargo, el mundo ya no es "Web", ya hay mucho mundo móvil, donde otras plataformas como TikTok tienen mucho que decir en el mundo móvil, o con mundos virtuales que cierran el tráfico en sus apps, o con los nuevos mundos virtuales descentralizados que comienzan poco a poco a crecer. Hay que tomarse esta gráfica como lo que es, una simple visión puntual reflejo de un cambio, que no es todo lo que ha pasado en estos años, pero sí que es reflejo del cambio continuo y agresivo de esta era digital en la que vivimos, donde las revoluciones duran... unos años.

Al final, este artículo solo es un recordatorio para ver que cuando llegan los cambios tecnológicos, luchar con el éxito es un problema para todas las empresas. Los ganadores de la Web, de las .COM, o de la Web2.0 no tienen porque ser los ganadores en esta nueva evolución. Ya veremos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, julio 27, 2022

Trick or Token: Mi charla sobre Criptomonedas y Tokenomics en South Summit

El pasado 8 de Junio, dentro de South Summit, fui invitado a dar una charla sobre mis reflexiones sobre el mundo Web3 o el Metaverso. Sobre estos temas estoy hablando, sobre todo las partes que más me interesan, que ya sabéis que tienen que ver con el mundo del Tokenomics por un lado, y por las estafas que se producen aprovechando la popularidad de las criptomonedas. De eso he escrito mucho, de tener cuidado con los consejos para forrarse de familiares en las cenas de Navidad o sobre los cuentos de las Habichuelas Mágicas.

Como sabéis yo no tengo ninguna visión negativa de este mundo Web3, del Tokenomics, o del uso de Fan Tokens o la creación de NFTs cuando tengan sentido, así que me organicé una charla en la que hablaba un poco de eso, de lo bueno y de lo malo. De los "falsos brokers", del Tokenomics, y del "Token for a Living".

Figura 2: "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo en 0xWord

Y en la charla toco todo esto de forma rápida en una "Quick Talk" de 10 minutos, donde, si has leído este blog diariamente verás que sale mucho de lo que cuento por aquí, junto con algún detalle más. En ella intento hacer una explicación sencilla de cómo funciona ese tokenomics 101, con graficotes hechos por mí, con todo ese arte que tengo yo para el diseño.

Como dato curioso, de cómo se está moviendo el mundo, tenemos la gráfica de inversión en empresas Web3 de BlockChain y Criptomonedas en el año 2021, que llama mucho la atención ver cómo se está apostando masivamente por empresas que construyen modelos de negocio basados en Tokenomics.

Figura 4: Inversiones en Blockchain y Criptomendas en 2021: 27B.
En Ciberseguridad se invirtieron 20 B en 2021

Y ya sin más, os dejo aquí el vídeo de la charla para que la podáis ver si tenéis interés. Como os he dicho antes, son solo diez minutos, así que se ver muy rápido, que el regidor me estaba metiendo "presión" con no pasarme ni un minuto, así que de los veinte minutos lo hice en once, para que no se diga.


Espero que al menos, os haga reflexionar sobre el mundo al que vamos, y si no, que al menos os entretenga la charla, que se ve rápido.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, julio 26, 2022

(Web)ScrAPIficar & Weaponizar WhatsApp (4 de 4)

Para la última parte de este artículo sobre (Web)ScraAPIficar & Weaponizar WhatsApp, vamos a ver un par de detalles importantes, las conclusiones del trabajo y, como no, os dejaré la charla completa que impartí en OpenExpo Europe para que la podáis ver, si no lo habéis hecho ya, de una sola vez en media hora, que al final, es más sencillo escuchar y ver una charla que leerse estas cuatro partes del artículo.

Figura 33: (Web)ScrAPIficar & Weaponizar WhatsApp (4 de 4)

Como hemos visto en el artículo anterior, la idea de este proyecto es poder, en primer lugar, crear APIs sobre "leaks" que están en la aplicación de WhatsApp, pero que no están disponibilizados por ningún sitio para poder crear scripts, como el caso de saber si un contacto está "Online" o no en un instante de tiempo, obtener las alertas de seguridad del chat, o la información del nombre de usuario de la cuenta.

WhatsINT

Además de poder crear estas APIs - todas usando WebScraping - lo siguiente es poder "Weaponizar" esquemas de ataque como el robo de cuentas con ingeniería social, la creación de un gusano tipo WannaSap, el ataque de D.o.S., el envío de enlaces para robar los nombres de los contactos de la agenda cuando funcionaba, o el descubrimiento de la ubicación de una persona enviando una falsa canción de Spotify, así como hacerlo para todos los contactos con los estados o desbloquear cuentas con grupos.

Figura 34: Configuración insegura de foto de perfil en WhatsApp

Al final, las técnicas de OSINT, cuando son para investigar personas o entidades, pueden tirar de WhatsINT con este tipo de herramientas. Por ejemplo, como última demostración con otro caso, hemos hecho el script para saber si una cuenta tiene disponible su foto de perfil para usuarios que no son sus contactos, como podéis ver en el vídeo. 

Figura 35: Comprobación de visibilidad de foto de perfil de WhatsApp

Este caso es perfecto para nuestro Dirty Business Card, ya que no necesitas que te tenga él como contacto para comprar si su perfil de WhatsApp tiene esta configuración abierta con la información de su perfil. La vida te da sorpresas.

ScrAPIficar

El siguiente aspecto que merece la pena resaltar es que estas técnicas de WebScrAPIficar tienen sentido cuando tengamos una aplicación web, como es el caso de WhatsApp Web, pero lo cierto es que no es absolutamente necesario nada de eso, y se puede hacer exactamente con cualquier "leak" o "feature" de cualquier App Client-Side, ya sea en un dispositivo móvil o en una aplicación de escritorio.

Figura 36: Ultima Conexión de un contacto en WhatsApp Desktop

Esto se lo conocen muy bien nuestros amigos de Quality Assurance, que se pasan el día entero automatizando scripts que tocan botones y capturan datos de los interfaces de las aplicaciones, para sacar resultados sobre los tests automáticos que se realizan en cada versión. Para explicar esto, el último ejemplo que hemos traído muestra como se puede ScrAPIficar WhatsApp - en este caso sin "web" de por medio - el "leak" de si una cuenta está Online o su Last-Seem.

Figura 37: Ejemplo de Script con API sobre WhatsApp Desktop

Como podéis ver en el vídeo, utilizamos WhatsApp Desktop para Windows que se maneja con un programa residente. En el script escrito en Pyhton llamado Win32.py estamos solicitando vía API saber cuándo un número de teléfono está Online o cuándo fue su Last Seen en la plataforma. 

Figura 38: Script en Python monitorizando las conexiones a través
de API hecha sobre WhatsApp Desktop

Para realizar este trabajo, nuestro programa residente en Windows hace clic en las diferentes ubicaciones de la pantalla de WhatsApp Desktop, introduce el número de teléfono a buscar, etcétera.

Figura 39: El agente maneja WhatsApp Desktop en Windows

Y luego, para hacer el Scraping, toma una captura de pantalla, corta la sección de la imagen dónde está el dato que queremos obtener, y lo convierte a texto con Tesseract-OCR.

Figura 40: El agente hace Scraping con Teseract-OCR

De esta forma, con una estructura muy similar al WebScraping, hacemos Scraping del interfaz de usuario de WhatsApp Desktop que luego se puede utilizar para crear APIs que se sirvan a todos los scripts de WhatsINT que se quieran construir. 

WhatsApp Code-Verify

Antes de terminar, una pequeña referencia a Code Verify que básicamente es una herramienta en la que Meta pasa a Cloud Flare una lista con los hashes de todos los recursos que utiliza WhatsApp WebCloud Flare comprueba su seguridad, y los carga en el navegador del cliente vía la extensión a Code Integrity.  Cuando en  el navegador, el usuario se descarga los ficheros de WhatsApp Web desde MetaCode Verify comprueba que los hashes de ese fichero están intactos. 

Si esto es así, la extensión, te dará un bonito tic de color verde que garantiza que, Code Verify ha validado los hashes con la información que ha recibido vía canal paralelo desde Cloud Flare, y tendrás una capa más de seguridad para proteger tu WhatsApp Web.  Y si esto es así, entonces olvídate de poder utilizar el concepto del plugin malicioso en una máquina que lo tenga. Lógicamente, para nuestro entorno, el lugar donde instalamos el plugin que usamos para manipular WhatsApp Web es nuestro y no le instalamos Code Verify. Pero si usas mucho WhatsApp Web, tal vez te venga bien proteger tu entorno.

Conclusiones

Al final, lo que te permite tener un entorno como éste es la posibilidad de rápidamente:
  • APIficar o WebScrapificar un leak de WhatsApp o cualquier otra herramienta cliente.
  • Integrar en tus plataformas de OSINT o CiberINT todo tipo de leak que aparezcan e WhatsApp o cualquier otra plataforma, tengan API o no la tengan.
  • Weaponizar esquemas de ataque mediante el uso de leaks o solo de features del propio producto.
Es decir, que no exista una API no es una limitación que evite que los analistas de seguridad, los pentesters o los hackers exploten hasta el último detalle de la tecnología en la consecución de un objetivo concreto.

Charla final

Y para termina, os dejo la charla tal y como la di en OpenExpo Europe, donde presenté todo esto - un poco más rápido y con un poco menos de detalle - pero en la que vas a poder ver todos los conceptos hilados por mí de una forma más cómoda y rápida.

Figura 42: (Web)ScrAPIficar & Weaponizar WhatsApp.

La charla era solo de 30 minutos, pero espero que os guste u os inspire para hacer alguna cosa curiosa con vuestras herramientas o investigaciones. 

¡Saludos Malignos!

******************************************************************************************
******************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, julio 25, 2022

(Web)ScrAPIficar & Weaponizar WhatsApp (3 de 4)

Tras ver en la parte anterior las posibilidades de automatizar acciones en WhatsApp Web a través de herramientas de QA Automation, o a través de un Plugin Malicioso en el navegador, toca pasar a crear las APIs de WhatsApp que podamos utilizar para generar nuestros scripts. Es decir, vamos a ver cómo a partir de técnicas de WebScraping creamos una API de WhatsApp, o lo que hemos llamado WebScrAPIficar WhatsApp.

Figura 23: (Web)ScrAPIficar & Weaponizar WhatsApp (3 de 4)

Para realizar este proceso, nosotros hemos creado una arquitectura basada en nuestro plugin del navegador que funciona de manera asíncrona con un BackEnd que recibe las peticiones de APIs desde cualquier script y deposita en la cola de acciones del plugin malicioso el comando. Este, va procesando todos los comandos desde la cola, y ejecutando las acciones en el navegador usando las citadas técnicas de WebScraping

Figura 24: Arquitectura de WebScrAPIficación de WhatsApp
con Plugin de navegador. Ejemplo de API de estado Online Yes/NO

Cuando termina de ejecutarlas, el backend recibe el resultado obtenido por el plugin, y se lo entrega al cliente para que pueda utilizarlo en sus scripts, generando cualquiera de los esquemas de "Weaponización de Features" que vimos en los ejemplos de las partes anteriores. Es decir, robo de cuentas con ingeniería social, ataques de D.o.S., averiguar la ubicación de tus contactos con los estados de WhatsApp, o dónde está una persona con un ataque de falsa canción de Spotify, monitorización de contactos 24x7, descubrimiento de nombres configurados por los contactos en sus cuentas de WhatsApp, etcétera.

En nuestra arquitectura el plugin está escrito en en JavaScript para hacer una versión de Firefox v95, el panel de control (C&C)  y su Base de Datos están montados con Flask y SQLite, y las APIs funcionan sobre Flask con WebTokens. Esto nos permite publicar APIs que son construida mediante procesos de WebScraping sobre WhatsApp Web. Las que hemos construido para esta demos son las que necesitábamos para los ejemplos descritos en las partes anteriores de este artículo:

Figura 25: APIs creadas con WebScraping en nuestra de
WebScrAPIficación de WhatsApp

Lo ideal para generar estos scripts es contar con APIs oficiales del producto, pero si no están disponibles, o si son incompletas porque no permiten acceder vía API a datos como los de los ejemplos de "leaks", entonces hacerlo mediante WebScraping es una opción que siempre está disponible, como hemos visto

Así, por ejemplo, mientas que en Telegram se puede acceder a saber si una cuenta está online o no mediante la API, como en el ejemplo que os publicamos hace ya unos años, en WhatsApp nosotros lo heos implementado mediante una WebScrAPIficación como la descrita en la imagen anterior. El resultado, al final, es el mismo, tal y como vimos en el artículo de "Cómo te pueden monitorizar 24x7 los horarios de conexión a tu WhatsApp".

Figura 27: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

En el vídeo siguiente, tenéis un ejemplo de cómo un script llamado "app_online_x_hours.py" escrito en nuestro querido Python, permite hacer uso de esas APIs, en concreto de la de "Online", para poder saber 24x7 si una persona está conectada o no. En el vídeo veréis a la izquierda la ejecución del script, y a la derecha lo que está pasando en el plugin que hace WebScraping de WhatsApp Web.

Figura 28: Script "app_online_x_hours.py" para monitorizar
a un contacto 24x7

A partir de este momento, teniendo las APIs, ya es muy sencillo ir implementando cada uno de los ataques que hemos citado anteriormente. En el siguiente vídeo, tenéis un ejemplo de cómo utilizar las APIs para implementar el ataque de robo de token de autenticación con ingeniería social, es el script "app_stole_auth.py" que vemos aquí funcionando.

Figura 29: Script "app_stole_auth.py"

Otro ejemplo que puede ser de utilidad, es la posibilidad de programar a una hora concreta el envío de un mensaje de WhatsApp, así, por ejemplo, puedes enviar mensajes mientras que estás dando una charla, o en otro lugar haciendo otra cosa. Un caso curioso que contaban nuestros amigos de Security By Default en la "Guía definitiva del crimen perfecto", donde se mandaban mensajes de WhatsApp en los momentos adecuados para cubrir el asesinato. 

Figura 30: Ejemplo de envío de mensajes programados de WhatsApp

Pero también se pueden utilizar para cosas más del día a día, como para que todos los días le pregunte a mamá, a los familiares, o las personas que vivan solas "¿cómo vas hoy, XXX?" y obligarlas a reportar el estado.

Figura 31: Ejemplo de "app_mama.py" para que le
pregunte todos los días a mamá cómo va el día.

O para cosas más útiles, como intentar coordinar una cena entre tres amigos, buscando la fecha y el tipo de cena que queremos reservar. Al final, teniendo una API y un buen Python, el número de scripts que puedes realizar es casi infinito. Ya sean para "Weaponizar Features", "WebScrAPIficar Leaks" o hacerte la vida más sencilla.

Figura 32: Ejemplo de cómo coordinar una cena con un script usando
las WebScrAPIs de WhatsApp Web

Podríamos seguir haciendo casos de uso, pero al final ya te puedes imaginar de que se trata esto. De poder hacerte las APIs que necesites de WhatsApp, tener una máquina con el WhatsApp Web WebScrAPIficado y usarlo a tu gusto. En la última parte le vamos a dar una pequeña vuelta de tuerca más aún.

¡Saludos Malignos!

******************************************************************************************
******************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, julio 24, 2022

(Web)ScrAPIficar & Weaponizar WhatsApp (2 de 4)

Una vez que hemos visto en la primera parte lo que son "leaks", "weaknesses", y en que consiste "weaponizar" una "feature" para convertir una característica en un "bug", vamos a continuar con la siguiente parte de los conceptos que necesitamos para armar la demo final. Se trata de ver en que consiste el WebScrapping, cómo lo utilizamos para técnicas OSINT, o como lo utilizan para otros ejemplos la industria FinTech o los WebScalppers, y cómo se puede hacer "Client-Side".

Figura 12: (Web)ScrAPIficar & Weaponizar WhatsApp (2 de 4)

De nuevo, perdonad por el "mumbo jumbo", pero al final veremos que todo es mucho más sencillo de lo que parece al principio todos estos términos "anglos".

WebScraping

La definición de Wikipedia en español de Web Scraping es bastante acertada. Se trata de hacer peticiones a una web para, analizando los resultados, extraer los datos que allí se encuentran. Por ejemplo, hacer peticiones a todas las páginas de perfiles de usuarios en una plataforma, y hacer una base de datos con los nombres, apellidos o la información que te de esa página web.

En el mundo del OSINT (Open Source INTelligence) hacer WebScrapping es fundamental, y nosotros lo hemos utilizado muchas veces para hacer trabajos como el de Dirty Business Card - que no deja de ser un ejercicio de OSINT por muchos sitios de la red), o para nuestra querida FOCA, donde hacemos WebScraping en los resultados de Google, de Bing, de Robtex, o para encontrar los directorios de una web y los enlaces a documentos ofimáticos.

WebScalpers, FinTech y e-Commerce

Las técnicas de WebScraping son muy utilizadas para construir aplicaciones sobre los datos que se muestra en aplicaciones web. Es una forma de acceder a datos y automatizar funciones. En el mundo de las entradas de espectáculos y el negocio de la reventa, aparecieron los WebScalpers, que utilizaban WebScraping para automatizar procesos de compra un producto muy deseado - las entradas premium de un concierto o el nuevo iPhone - y ponerlo automáticamente a la venta en el mercado de reventa.
Esto hace que cuando salen a la venta las entradas de ese grupo tan importante, se acaben en unos minutos. No es que todo el mundo esté ahí esperando. Ni mucho menos, es que el mercado de la re-venta ha utilizado herramientas para "rapar al cero" (cuero cabelludo "Scalp") de entradas la web donde se vendían. Es decir, el del negocio de la reventa ha apostado por sacar un margen generando escasez de esas entradas, y para ello, en la mayoría de los casos, utiliza herramientas que se basan en hacer WebScraping a la página de venta de entradas y automatizarlo.

Esto no es nada nuevo, y en el mundo FinTech, donde las entidades bancarias no estaban dando APIs para que los clientes pudieran acceder a sus datos, comenzaron a construir sus servicios sobre las bancas online de los usuarios, accediendo con credenciales correctas y haciendo WebScraping de los resultados que daba la aplicación web del banco al usuario. Hoy en día ya tienen la posibilidad de acceder mediante APIs, pero al principio, toda la construcción de servicios se hacia sobre WebScraping
Al final, hacer WebScraping no es un delito. Lo que es importante es tener claro cuáles son los datos a los que accedes y almacenas, pues hay una legislación para ello, y el GDPR explica claramente si puedes o no acceder a ellos y si puedes o no almacenarlos. Ahí es donde está el punto importante.
Otro claro ejemplo de uso de WebScraping son los que utilizan los e-commerce, con los programas de afiliados, con el movimiento de artículos. Hay empresas que integran productos de muchos e-commerce para hacer negocios de Drop-Shipping, es decir, de reventa de productos de otros, simplemente haciendo carga automática de ellos extrayéndolos de diferentes páginas web donde se venden, y para ello se usan también las técnicas de WebScraping.

WebScraping Server-Side & Client-Side en WhatsApp

En todos los casos anteriores hemos estado hablando de WebScraping pensando en su mayoría en datos que pedimos a un servidor y los analizamos. En el caso de WhatsApp, que es de lo que vamos a hablar, sería similar a tener WhatsApp Web e iniciar sesión. Después, deberíamos analizar todas las respuestas y podríamos automatizar comandos. 

WhatsApp-Web.JS

Esto es lo que hace, por ejemplo, WhatsApp-Web.JS de Pedro. S. López, que utiliza Puppeter - una popular herramienta de los profesionales de QA (Quality Assurance) para hacer "Test Automation", es decir para probar una nueva característica en una herramienta. 

En este caso, WhatsApp-Web.JS utiliza una versión del navegador que controla vía Puppeter con una sesión autenticada de un usuario, y sobre ella permite automatizar el uso de WhatsApp para realizar un montón de funciones, como las que veis en esta lista de opciones. 
Una maravilla para poder controlar desde un script en tu equipo todo que quieras hacer en tu WhatsApp Web.

WanaaSap: El plugin malicioso de WhatsApp Web

En nuestro caso con WannaSap, que fue creado como ejemplo para hacer un gusano tipo WannaCry para robar cuentas de WhatsApp utilizando un esquema de ingeniera social masivo automatizado, nosotros hicimos algo similar, pero optamos por un esquema basado en infectar un navegador con un plugin malicioso que esperaba cualquier sesión de WhatsApp Web.

Una vez que ese plugin malicioso del navegador detectaba que se había iniciado una sesión de WhatsApp Web, reportaba al panel de control la instancia infectada, y permitía que se lanzara el ataque de ingeniera social, así como la recolección de datos de ese WhatsApp. En este caso, estábamos accediendo al DOM del navegador, y haciendo WebScraping del resultado para extraer los datos.
El esquema de ataque que realizaba, y que puedes ver en la conferencia de Social Worms: WannaSap & WannaGram, es el que en esta tertulia se intenta explicar (sin mucho éxito). Se trata de robar una cuenta de WhatsApp, y desde ella, a todos los contactos intentar robarle la cuenta. 

Para ello, el atacante intenta iniciar sesión en WhatsApp con el número de teléfono de uno de los contactos de la víctima actual, el SMS de verificación le llega por SMS al contacto, y desde el WhatsApp de la víctima actual se intenta engañar para que te dé el código con ingeniería social.


En ambos casos, como podemos ver, estamos utilizando WebScrapping sobre WhatsApp Web para poder automatizar funciones, y crear esquemas de ataque que "Weaponizen Features", pero podemos darle un paso más allá, y construir sobre estas

¡Saludos Malignos!


******************************************************************************************
******************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)