Cómo secuestrar la identidad digital de una persona (II)

Siguiendo desde donde nos quedamos con la anterior entrada: Cómo secuestrar la identidad digital de una persona (I).

¿Y qué tal si para probar compramos un Nexus 5? Tras hacer login en la web de Google Wallet y añadir una nueva dirección de envío (la mía claro), procedemos a hacer la compra:

Ya tengo un segundo móvil nuevo, pero continuemos para bingo, lo siguiente que haríamos es secuestrarle las cuentas de sus redes sociales, por ejemplo vamos a probar con Facebook, siendo aplicable al resto de ellas (LinkedIn, Twitter…).

Aquí podemos hacer 2 cosas para obtener el usuario de Facebook, o bien mirarlo en la propia aplicación del móvil sustraído o utilizar un pequeño truco en la página web de esta red social. El truco consiste en dado un correo electrónico obtener su usuario asociado, utilizando para ello el formulario de “¿Has olvidado tu contraseña?”

Como ejemplo he utilizado un correo electrónico totalmente aleatorio peter12@gmail.com el cual dada la gran cantidad de usuarios que Facebook posee existe como perfil. Animo al lector cuando se aburra a introducir algunos de forma aleatoria, suele ser interesante ver las fotos y nombres que la gente se pone.

En nuestro caso no hubiéramos puesto el correo de “peter12” sino la cuenta de Gmail obtenida del teléfono. Como pueden ver en la imagen anterior, en la segunda opción nos invita a enviarnos un enlace de cambio de contraseña a nuestra cuenta de correo previamente secuestrada. Magnífico ya tenemos su Facebook, nuevamente ¿qué podemos hacer con una cuenta de Facebook…? Pues en primer lugar tocarle el bolsillo por ejemplo comprando en su nombre servicios de esta red (siempre que tuviera claro, la tarjeta de crédito previamente introducida).

Continuamos para Bingo… ¿Qué más se puede hacer con una cuenta de Facebook?, pues como esto de la autenticación con una única cuenta está de moda y gracias a esta red social es posible hacer login con sus credenciales en numerosas Webs, vamos por ejemplo a secuestrarle su cuenta de Spotify. Destacar que podríamos hacernos con cualquier servicio que utilice Facebook como validador.

Pero no todo queda aquí, ¿y si vamos ahora a por su operador móvil?

Más información en la próxima entrada.

Cómo secuestrar la identidad digital de una persona (I)

Hoy les vamos a mostrar el impacto que tiene perder su terminal móvil Android y no disponer de un código de seguridad o patrón de bloqueo robustos. Como se pueden imaginar por el título del post, la consecuencia va a ser el secuestro o suplantación de la identidad digital de la persona afectada. Comencemos…

Supongamos que soy una persona terriblemente malévola y que me he encontrado un teléfono Samsung Galaxy S4 en una butaca a la salida del cine. Este smartphone no dispone de bloqueo, por lo que a priori, lo primero que se me ocurre es que puedo llamar a mi novia en USA sin pagar ni un céntimo. Pues bien, esto es de lo mejor que le podría pasar a la pobre persona que ha perdido una parte de su cuerpo. Digo esto porque hoy en día nuestra vida completa la llevamos en el bolsillo convirtiéndose en una parte más de nuestro organismo, creando una necesidad que roza lo absurdo (conozco gente que duerme abrazada a su teléfono).

Lo siguiente que se me ocurre que se podría hacer es robar la cuenta de Gmail/Google de la siguiente manera:

    1. Obtengo la dirección de correo electrónico asociada en el terminal móvil, simplemente abriendo la aplicación de Gmail.

    2. Lanzamos los formularios de recuperación de contraseña a través de un navegador web en un ordenador. Haciendo click en ¿Necesitas ayuda? y posteriormente en “he olvidado mi contraseña”, le introducimos el correo electrónico que hemos obtenido en el paso 1.

    3. El asistente nos pregunta si recordamos alguna contraseña anterior, por lo que le diremos que “No lo sé”.

    4. A continuación Google nos deja elegir entre enviarnos a otra cuenta de correo electrónico el proceso de recuperación o… continuar a través del teléfono móvil asociado a la cuenta. Pincharemos en esta última.

    5. En este punto en nuestro ordenador aparece un aviso indicando que debemos autorizar a través del móvil, el cambio de contraseña. Siendo esta solicitud válida durante 10 minutos.

    6. Al instante en el terminal sustraído aparecen una serie de mensajes como los siguientes:

    7. Tras simplemente darle a “Permitir” podemos establecer la contraseña que nosotros queramos en el ordenador,obteniendo el control total de la cuenta de Google.

¿Pero que podemos hacer con una cuenta de Google? Por el momento acceder a todos los servicios asociados: Google+, GoogleDocs, Gmail, etc. Pero quizá uno de los más interesantes para un atacante pueda ser el Google Wallet, el cual te permite comprar productos, como: teléfonos móviles, tabletas, música o aplicaciones entre otros.

¿Interesante?

Seguiremos desde este punto en la próxima entrada.

Vigilancia digital en la coronación de Felipe VI

Hemos estado viendo durante estos últimos días un amplio despliegue de seguridad entorno a la coronación de Felipe VI como nuevo rey de España. Francotiradores, equipos de artificieros/Tedax, Guardia civil y no me extrañaría, GEAS por las alcantarillas de Madrid. Todos ellos ejerciendo su trabajo para garantizar la seguridad de la corona. ¿Pero qué ocurre con el panorama digital? , ¿Qué ocurre en el campo de batalla de los bits?, ¿Por qué es necesario ampliar el espectro de protección al entorno virtual?

En un contexto más directo con el proceso in situ de la proclamación, imaginemos por el momento que algún grupo contrario a la monarquía, pudiera acceder a la red informática del congreso de los diputados y manipular el audio de la sala reproduciendo constantemente el “Himno de Riego”, o por ejemplo controlar a voluntad el alumbrado de la sala mientras el nuevo rey recibe su corona, convirtiendo la sala en una auténtica discoteca de alto standing. O puede ser más simple todavía, realizar una denegación de servicio sobre las infraestructuras de comunicaciones y dejar sin señal de transmisión a los medios que cubran el evento.

Los riesgos directos son múltiples pero no hay que descuidar los indirectos, es decir aquellos que pueden afectar a la imagen de la corona, como por ejemplo la modificación de su famosa página web o incluso los que no son directamente relacionados con la familia real, como pueden ser los servicios digitales de instituciones públicas o fuerzas y cuerpos de seguridad del estado.

Es por eso que durante estos días no solo hay que tener en cuenta la seguridad física del evento sino la digital ya que en muchas ocasiones esta puede sobrepasar el terreno virtual, y sino péguenle un vistazo a este interesante artículo de la revista Wired.

VolWrapper envolvente para Volatility

Para aquellos que os habéis enfrentado alguna vez a un análisis forense de memoria RAM, lo más seguro es que conozcáis Volatility. Esta potente herramienta desarrollada en Python permite obtener hasta la marca de café que beben los usuarios/atacantes que han hecho uso de un determinado equipo.

Como todo en la vida, se puede utilizar la mejor raqueta del mercado, pero uno no golpeará como Nadal, o se puede disponer de las mejores zapatillas de running pero uno nunca será Carl Lewis. Con Volatility pasa un poco lo mismo: no es una herramienta sencilla y tratar de encontrar un “bicho” o hallar evidencias de una intrusión no es trivial. Sí que es verdad que listar los procesos, obtener sus DLLs o incluso ver las conexiones establecidas en un momento determinado por la máquina es relativamente sencillo. Lo que ya no lo es tanto es la interpretación de la información que Volatility nos devuelve.

Es por eso que tras bucear por la estupenda wiki del proyect, e ir leyendo los diferentes posts o artículos recopilados por sus autores uno puede ir aprendiendo pequeños “trucos” sobre cómo detectar contextos anómalos y comportamientos específicos del malware. Con esta idea nace VolWrapper, una envolvente para Volatility escrita en Python que permite analizando la salida de los diferentes comandos de esta, identificar posibles anomalías presentes en la captura.

¿Cómo funciona VolWrapper? Pues simplemente redirigiendo la salida de la aplicación a la entrada de VolWrapper mediante una pipe.

root@hal9000:/home/ramado volatility  -f imagecapture.raw --profile 
   Win7SP1x86 dlllist | ./volWrapperV0.1.py

En estos momentos la envolvente soporta tan solo 3 comandos identificando situaciones anómalas para cada una de ellas: dlllist, psscan, pslist:

  • Dlllist lista las librerías dll cargadas en cada uno de los procesos de la máquina. A menudo el malware pude trabajar en user space, inyectándose en un determinado proceso a través de estos métodos, por lo que durante la acción forense es recomendable revisar las diferentes librerías residentes en memoria. Este trabajo puede ser tedioso, por lo que en este punto entra en acción VolWrapper mostrando mediante una leyenda de colores información sobre las diferentes Dlls identificadas. Puede alertarnos de librerías fuera de los directorios tradicionales como system32, de capacidades de comunicación o de cifrado, incluso proporcionarnos una descripción de la funcionalidad de la dll.

    Esto no quiere decir que mágicamente no señale donde está el problema, pero sí que puede ser un soporte para cribar un montón de información que de otra manera podría suponer mucho tiempo de estudio. Ejemplo de ejecución (pinchar en la imagen para verla a tamaño completo):

    #volatility –f imagecapture.raw –profile Win7SP1x8 dlllist | ./volWrapperV0.1.py –c 
    

    Por ejemplo, de esta manera podemos identificar rápidamente si un proceso que aparentemente tiene una funcionalidad concreta como es notepad.exe está utilizando librerías de cifrado de datos o de comunicación, situación en un principio anómala. A su vez permite también centrarnos en todas aquellas librerías que a priori no están presentes en una instalación por defecto de un entorno Windows (listadas de color negro), centrando nuestra atención en ellas.

  • Pslist permite obtener los procesos en ejecución en un momento determinado de la captura analizada. Una posible anomalía en cuanto a los resultados listados por Volatility puede ser procesos huérfanos, es decir sin PID padre aparente. Esta situación puede deberse a que un rootkit puede estar ocultando el verdadero proceso padre. VolWrapper permite identificar mediante un código de colores los procesos sospechosos.

  • Psscan es similar al anterior, siendo un apoyo a psxview.

Resumiendo, la idea de la herramienta es ir ampliándola incorporando todas aquellas situaciones anómalas que identifiquen la presencia de algún artefacto. Por ahora tan solo soporta estos tres métodos pero irá creciendo, permitiendo a gente con menos conocimientos realizar un forense de RAM de forma más sencilla. Tenéis la herramienta en el siguiente enlace https://github.com/ramado78/volWrapper y en breve la añadiremos a la sección de herramientas “self-made” en SAW ;)

Dumb-Down atacando redes Wifi empresariales

En la pasada RootedCON de 2013 Raúl Siles introdujo una mejora al clásico ataque de Joshua Wright a redes WiFi empresariales llamado Dumb-Down, desconozco si el término o la vulnerabilidad que explota fue contribución suya o de algún otro gurú, pero la verdad es que no he encontrado referencias sobre la implementación/descripción del ataque en otras fuentes. Como no identificamos referencias básicamente sobre su realización técnica pasamos al “do it yourself”. La verdad que esta vulnerabilidad, desde mi punto de vista, ha pasado bastante desapercibida por lo que al impacto en la red se refiere (blogs, comentarios, etc.) y me sorprende especialmente por el terrible impacto que tiene. En las próximas líneas veremos una prueba de concepto de cómo configurar un sistema capaz de ejecutar el ataque, desde los cimientos aportados por Joshua a la mejora propuesta por Raúl.

En primer lugar comentar que el ataque Dumb-Down permite obtener directamente las credenciales en claro de los clientes WiFi que por una mala configuración de sus terminales autentiquen a una red empresarial que utilice EAP como método de autenticación.

Para ello necesitamos primero desplegar la infraestructura que nos permita autenticar a los clientes inalámbricos, para ello utilizaremos “Freeradius-WPE”, el cual habilita capacidades de registro para las credenciales suplidas por los usuarios víctima. No voy a describir su proceso de instalación ya que hay cientos de blogs que ilustran el ataque, destacar tan solo que, este es capaz de capturar diversos métodos de autenticación EAP como son: EAP-TTLS PAP, EAP-TTLS CHAP, PEAP-MSCHAPv2, EAP-TTLS GTC y por supuesto sus versiones sin tunelizar, entre otros.

Lanzaremos por tanto una vez instalado, el Freeradius-WPE mediante el siguiente comando.

Pondremos un Tail en su fichero de registro que es donde nos irá guardando las credenciales de los clientes WiFi.

En este momento necesitamos levantar un punto de acceso que autentique contra nuestro servidor Radius modificado en el puerto 1812 UDP. Podemos usar un AP físico o montar un hostapd, esta segunda opción nos permitirá utilizar una tarjeta WiFi con una antena con bastante ganancia. La configuración utilizada para el hostapd es la siguiente, lanzando posteriormente el demonio.

Ahora que ya tenemos la infraestructura preparada vamos a hacer una prueba de conexión sin aplicar todavía el ataque Dump-Down. Desde un teléfono móvil por ejemplo conectamos al AP requiriendo inmediatamente en la pantalla de nuestro terminal las credenciales de acceso a la red.

Nuestro terminal nos alerta de que el certificado de seguridad no es válido, en numerosas ocasiones el usuario simplemente lo aceptará por simple desconocimiento, pero como veremos en el estudio realizado más adelante para una red concreta, la mayoría de equipos están configurados para no comprobar la autenticidad del servidor de validación. Esto conlleva un gran problema ya que en nuestro registro podemos ver el usuario que ha conectado y la huella tanto del challege como del response de MSCHAPv2. Con esta información podemos utilizar aplicaciones como “John the ripper” versión “Jumbo”, “asleap” o servicios en la nube de crackeo de contraseñas por el módico precio de 17$ la unidad.

Como vemos en el log del Freeradius-WPE de la captura anterior, el método de autenticación ha sido Mschapv2 con un protocolo de protección y cifrado del proceso PEAP.

Veamos ahora como conseguir que el cliente en lugar de remitirnos un challenge/response que deberemos crackear, nos remita la contraseña directamente en claro, que es la gracia de Dump-Down. Muchos de los suplicantes inalámbricos delegan en el servidor Radius el método de autenticación a negociar, de esta manera si el terminal le comunica que se va a validar a través de MSCHAPv2 y nuestro FreeRadius-WPE replica forzándole a utilizar por ejemplo, EAP-GTC, conseguimos evitar realizar la fuerza bruta sobre MSCHAPv2. Si queréis saber que clientes son presas de este ataque, el estupendo estudio de Raúl realizado para la Rooted puede aportaros más detalles. Adelantaros que, en entornos Windows, EAP-GTC no es aceptado de forma nativa (así como LEAP o EAP-TTLS), ¿por qué? Pues porque ya tienen su propio método creado por ellos, Microsoft CHAPv2. Donde comienza la verdadera fiesta es con los terminales móviles; IOS 5, 6 y 7 sucumben al ataque; Android, dependiendo del grado de configuración; Windows Phone, peor escenario posible. Lo verdaderamente terrorífico en este punto es la capacidad por defecto de los teléfonos inteligentes de conectar automáticamente a aquellas redes que aparecen en su lista de favoritos, es decir, todas con las que previamente se ha realizado una asociación satisfactoria.

Configuremos por tanto nuestro FreeRadius-WPE editando el archivo “/usr/local/etc/raddb/eap.conf” y cambiando el método de autenticación por defecto a EAP-GTC como muestra la imagen.

Agradecimientos en este punto a nuestro compañero David Lladró por la configuración anterior.

En estos momentos, lanzaremos nuevamente nuestro Radius y repetiremos el intento de conexión con los siguientes resultados.

Como vemos en la imagen, el servidor ha forzado al cliente a utilizar EAP-GTC revelándonos directamente las credenciales en claro.

Un estudio que trató de analizar el impacto y el nivel de seguridad de este tipo de redes arrojó resultados escalofriantes. El objetivo propuesto fue una popular red universitaria. En su página web podemos leer:

XXX es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. XXX persigue el lema “abre tu portátil y estás conectado”.

Para los que no la conozcáis es la red que da conectividad inalámbrica a los alumnos, independientemente de la universidad donde se encuentren. Tras un breve proceso de Wardriving por la ciudad con un punto de acceso simulando un nodo de XXX y un rápido paso por un par de campus, los resultados fueron los siguientes:

  • 59 Challenge/response de MSCHAPv2 capturados, con el consiguiente 100% de crackeo de la contraseña.
  • 36 credenciales en claro.

Como ellos mismos dicen “abre tu portátil y estás conectado”, paradójico ¿no…?

Pero este tipo de ataque Dump-Down, todavía puede dar mucho más juego, podemos utilizarlo para realizar ataques de ingeniería social. Supongamos que tenemos que realizar un test de intrusión sobre una empresa llamada Duff. Podemos levantar una infraestructura Dump-Down con un SSID por ejemplo “Duff WiFi mail service”, “Duff WiFi VPN” o cualquier otro nombre atractivo que pueda hacer que un usuario se autentique con sus credenciales de dominio, ya que lo único que se le requerirá al cliente que intente conectarse es un par usuario/contraseña, siendo muy fácil que asocie el nombre de la red con las credenciales de acceso al servicio (por ejemplo el correo). Al margen de esto, se me ocurre que podría ser interesante levantar por ejemplo, un punto de acceso en Barajas que se llamara “Google free WiFi” a ver cuántas “polillas” se pueden llegar a capturar… Dejamos esta práctica (que no recomendamos realizar en absoluto) para aquellos lectores Underground.

No hay que olvidar que normalmente, este tipo de sistemas de seguridad WiFi empresariales están integrados con el dominio Windows corporativo, es decir que no sólo pueden suponer el acceso a la red inalámbrica de una compañía, sino a todos los recursos internos que estén integrados con el dominio: escritorio remoto en servidores, correo electrónico, ERP, servidores de ficheros, OWA, VPN, etc.

Por lo tanto y como conclusión, el riesgo de una red EAP mal configurada es mucho mayor que una que directamente no presenta contraseña de acceso (OPN).

Nota final: Recomendación que desde Security Art Work nos gustaría realizar, SI NO ESTÁS UTILIZANDO UN SERVICIO WIFI, EL INTERFAZ INALÁMBRICO MANTENLO APAGADO SIEMPRE.

APTs. Detectando movimientos laterales

Las APTs (Advanced Persistent Threats) conforman uno de los principales riesgos a los que se enfrentan hoy en día las empresas, organizaciones y estados. Su objetivo principal es sustraer de forma silenciosa, la mayor cantidad de información de sus víctimas, tratando de pasar totalmente desapercibidas (en algunas ocasiones persisten meses incluso años sin ser identificadas). Famosas fueron las campañas China APT-1, que hace sobre un año destapó “supuestamente” Mandiant o la Rusa con nombre en clave “Red October” detectada por Kaspersky.

A grandes rasgos estas amenazas presentan tres fases en cuanto a su despliegue y funcionamiento:

1º Fase de Análisis. Donde el atacante trata de obtener la mayor información posible de la organización víctima: direcciones de correo, usuarios, roles del personal, estructura jerárquica (aquí la web corporativa ayuda mucho…), etc. De esta fase hay una cosa curiosa y es que normalmente los objetivos más perseguidos no son los directores generales, altos cargos o personal de gran poder sino sus secretari@s. Esto es debido a que estos últimos son en última instancia los empleados que manejan la información más crítica, ya que son los encargados de leer el correo electrónico de su superior, contestar en su nombre o acceder en su lugar a recursos especialmente sensibles.

[Read more…]

/Rooted CON 2013 día 2

En nuestro segundo día de la RootedCon parece que el congreso va ganando cuerpo como el buen vino. La mañana la abrieron los chicos de OWISAM, Andrés Tarasco y Miguel Tarasco, presentando una interesante metodología de análisis de seguridad 802.11 y acompañada de una herramienta de auditoría la cual tenemos muchas ganas de probar. Desde Securityartwork desearles suerte con el proyecto, seguro que es un éxito.

Justo antes del café Jesús Olmos nos presentó ChromeHack un complemento del popular navegador de Google para la auditoría Web. La verdad es que me sentí muy identificado cuando comentó el origen del proyecto, el hecho de estar realizando un análisis y tener: una Hackbar, el Tamperda, Burp, Pipper,  2 escritorios, y siete consolas abiertas, hace que el test acabe siendo un infierno. Es por eso que, este maravilloso plugin permite realizar con un simple botón derecho del ratón contra un recurso HTML concreto: fuerza bruta a un login, inyección SQL  o XSS a formularios, fuzzing de URLs, todo ello basado en diccionarios de ataque. La verdad es que tenemos muchas ganas de probarlo y alimentarlo por ejemplo con los diccionarios del gran Pipper.

Concha Codan en el buche y zumito refrescante pasamos a ver la interesante ponencia de David Barroso (pese a que ya la habíamos visto en otros foros) sobre ataques de denegación de servicio distribuidos. Me sorprendieron muchas cosas pero en especial me pareció curioso el modelo de negocio de algunos ciberdelincuentes de “Pago por instalación”, es decir yo ya tengo mi botnet con mi legión de zombis y le vendo la instalación de su troyano de control a un segundo, pudiendo un único cliente infectado formar parte de varias botnets controladas por varios grupos criminales.

Justo antes de comer Sebastián Guerrero nos mostró como crear un rootkit para Android, ya que la Sandbox en estos terminales solo se despliega en el ring de usuario, no aplicando al Kernel o las librerías del sistema. Por lo tanto es posible en caliente cargar un módulo LKM, el cual se ejecuta en este espacio privilegiado. Su aportación permite obtener la SYSCALL TABLE (tabla donde se recogen la lista de direcciones de las llamadas a sistema) sin depender de la versión específica de un Kernel concreto de Android, esto es necesario para poder Hookear estas llamadas. Su módulo Penetraitor V0.1 puede, como Sebastián comenta, utilizarse para el bien, como por ejemplo debuggear aplicaciones o para el mal, creando una reverse shell cuando se le envíe un mensaje al teléfono o reciba una llamada de un teléfono concreto.

Tras un exquisito cocido madrileño, asistimos a la ponencia de Pepelux, donde nos mostró como realizar un test de intrusión sobre una FreePBX, distribución Linux con Asterisk integrado, destinada a realizar las funciones de centralita telefónica. Jose Luís nos enseñó cómo es posible comprometer este tipo de servidores a través de la creación de un plan de llamadas capaz de ejecutar código en el sistema. Ni decir tiene que todo acaba con final feliz, máquina rooteada.

Por último Roberto Baratta, CISO de Novagalicia, nos mostró como su compañía es capaz de luchar contra el ciberfraude bancario, a través de mecanismos como por ejemplo la correlación con SPLUNK o la cooperación con otras entidades. Me llamó la atención el comentario sobre la nueva directiva europea que obligará en 2014 a que los bancos estén obligados a publicar sus incidentes de seguridad. No obstante sí que hubo una cosa que me hizo levantar las orejas cual conejo deslumbrado en medio del asfalto, y es el hecho de que para analizar la seguridad del código de sus programadores, este se envíe a “La Nube”.

En general muy buenas sensaciones en este segundo día de la RootedCon, quedándonos incluso con ganas de más.

 

TOR Hidden Services: 0days, drogas, armas, sicarios… a golpe de un click

Un AK47, cocaína, éxtasis, servicios de hacking, explosivos, contratación de sicarios… son simplemente algunas de las cosas que es posible adquirir en los suburbios de la red, la denominada DeepWeb. Todo ello cómodamente desde el sillón de nuestras casa, al más puro estilo visual de Amazon.

Pero el lector se preguntará cómo es posible esto. ¿Por qué la policía no actúa? La respuesta es sencilla: en nuestra opinión, porque no pueden localizar el origen desde donde se están publicando estos servicios y productos. Esta característica la ofrece la red Tor y sus Hidden Services. La red Tor es un sistema de comunicación entre ordenadores capaz de ocultar el direccionamiento tanto del cliente como el de un servidor que quiera publicarse dentro de esta red. Originariamente este protocolo de enrutamiento fue creado por la Marina de Estados Unidos con el objetivo de proteger las comunicaciones a través del anonimato de los interlocutores, aportando a su vez capacidades de cifrado de la información no solo a nivel del contenido de los paquetes de datos sino incluso de su cabecera. Este post no persigue detallar cómo funciona Tor pero daremos unas simples pinceladas de la red.

Cuando un cliente quiere visitar por ejemplo a una página web de forma anónima, su navegador redirige el tráfico a través de su aplicación instalada de Tor. Ésta entrega sus paquetes de datos a una serie de relays aleatorios, simples equipos como puede ser el del cliente y que voluntariamente participan en el proyecto, cuya principal característica es que un relay solo conoce la dirección de su predecesor y la del siguiente destinatario de la información. De esta manera la información viaja por una serie de nodos aleatorios antes de llegar al destino objetivo del cliente, la página web que quiere visitar. Destacar que en todo momento los nodos intermedios no conocen el contenido de la información ni su destino.

Pues bien, con esta arquitectura de comunicaciones también es posible publicar servicios como páginas web dentro de esta red, siendo completamente inaccesible al resto de equipos conectados a la red de Internet y que no lo están a Tor. Estos servicios son los llamados Hidden Services y son fácilmente identificables ya que presentan todos ellos el dominio “.onion”. Un ejemplo podría ser una dirección como http://zw3crgatadila2sg.onion/ (actualmente fuera de servicio), donde se distinguen dos partes: el dominio (.onion) y el identificador del servicio (zw3crgatadila2sg), identificador que coincide con parte de su descriptor, formado por la firma de su clave pública y sus puntos de introducción (IPs).

Pero, ¿cómo es posible ocultar la verdadera dirección IP del equipo que hospeda la web? A través de un complejo sistema de comunicación que, de forma resumida, permite establecer un punto de reunión entre un cliente y el servidor en uno de los nodos relay de los que hemos hablado anteriormente. De esta forma se crea un circuito de comunicaciones cifrado efímero donde ninguno de los dos interlocutores conoce verdaderamente la dirección IP origen del otro.

Ahora que ya conocemos a grandes rasgos cómo es posible ocultarse dentro de esta red veamos qué tipo de servicios y productos se pueden conseguir en el mercado negro de Tor. Pero antes de seguir, destaquemos que no todo es oscuro y malévolo en esta red: este proyecto también es utilizado por usuarios que residen en países donde sus gobiernos coartan la libertad de expresión, permitiéndoles acceder libremente a los contenidos publicados en Internet, como por ejemplo el caso de China.

Acceder a contenidos donde se ofrecen servicios y productos ilegales es tremendamente sencillo, de hecho la primera dirección “.onion” que se probó para la redacción de este post ya fue una mina… Pero dejémonos de teoría y veamos un simple ejemplo de lo que podemos encontrar:

Como se puede observar en la imagen, la web presenta un interfaz muy amigable y recuerda a cualquier market de los que se pueden encontrar por Internet para la adquisición de libros, electrodomésticos o cualquier artículo cotidiano. Destacar el menú lateral de categorías, donde se puede navegar por los diferentes servicios ofrecidos: drogas, armas, hacking services, datos (como BBDD con millones de direcciones de correo, o información de personas asociadas a un país), tabaco, o metales (oro y plata) entre otros. Desplegando algunos de estos menús encontramos cosas como las siguientes:

Por ejemplo, es posible contratar una botnet para realizar ataques distribuidos dirigidos por tan solo 5.000000 Bitcoints (moneda virtual), lo que al cambio supondría 74,16 euros.

Adicionalmente, dentro de la categoría de servicios de hacking es posible contratar cosas como el clonado de webs para ataques de phishing o robos de información a través de pentesting, (y la verdad, a precios muy atractivos).

Pero quizá una de las cosas que más puede llegar a impactar es la contratación de sicarios para que se “encarguen de alguien”; aquí los precios rondan los 7.500 euros pagando incluso un plus si se trata de un menor de 18 años.

Realmente asusta la facilidad con la que se puede llegar a obtener servicios y productos en el mercado negro de Internet. Ni foros encubiertos, ni contraseñas para acceder a entornos oscuros de contratación, ni el clásico “debes conocer a alguien que te ponga en contacto con otra persona”… Simplemente compras a un solo click. Destacar que obviamente para la redacción de este post no se ha llegado a probar la veracidad de la información realizando una compra en esta plataforma concreta, pero creedme que si este caso fuera ficticio existen cientos de sitios más a los que se podría acudir…

Memorias de un Incident Handler: “email Man in the Middle”

Hace ya algún tiempo tuve la oportunidad de gestionar un incidente de seguridad utilizando una técnica de estafa basada en el clásico Man in the Middle, pero lo curioso es que el ataque no estaba ejecutado en capas de enlace, red o transporte sino en la de aplicación, más concretamente por correo electrónico. El caso fue el siguiente…

La empresa “A” solía realizar compras importantes de materia prima a proveedores residentes en otros países; para que éstos pudieran comenzar el proceso de producción, se les solicitaba a la compañía “A” un % inicial como adelanto. Cuando el pedido llegaba a la península, antes de su entrega, se procedía al pago de la cantidad restante.

Todas estas transacciones y gestiones de pedidos se realizaban por correo electrónico, intercambiando durante un período de tiempo: cantidades solicitadas, el estado del envío, precios y cuentas bancarias donde se realizan las transferencias de pago. Cabe destacar que el personal de la empresa “A” estaba acostumbrado a trabajar de esta manera y gestionaba decenas de pedidos con proveedores de varios países del mundo.

En uno de los intercambios de correos con uno de los proveedores asiáticos y justo en mitad de un hilo de contestaciones (típico Re:), el empleado de la compañía “A” recibe un correo de una dirección con el nombre de usuario similar al que él estaba acostumbrado a tratar, pero con un dominio perteneciente a Yahoo! Esta dirección correspondía con huyin@yahoo.com. Es decir:

En el cuerpo del correo dirigido al empleado de “A” venía ilustrado todo el contenido de la conversación mantenida en emails anteriores y le instaba a cambiar la dirección de contacto con él, por la nueva de Yahoo! (huyin@yahoo.com). El atacante alegaba que tenían problemas con el correo corporativo y que se veía forzado a utilizar su cuenta personal.

El empleado no sospechó ya que podía ver en el propio correo, la conversación mantenida anteriormente y que el estafador en un principio, conocía detalles de las actividades y gestiones mantenidas. Llego el día en el que el atacante le solicitó un cambio de la cuenta bancaria donde le tenía que realizar la transferencia del pedido; el empleado inicialmente sospechó, pero accedió a la petición y procedió al ingreso del restante de la operación. Esta transferencia era necesaria para poder recoger el material a su llegada. Cuando el trabajador le requirió los papeles necesarios para la retirada, el atacante no solo no accedió, sino que le solicitó el adelanto de una nueva partida de otro pedido.

El empleado escandalizado, llamó por teléfono al proveedor y ¿cuál fue su sorpresa? Este no sabía nada de la dirección de correo de Yahoo!, ni siquiera que se le hubiera realizado ningún pago. Es más, le enseñó diversos correos electrónicos remitidos desde una dirección empleadoA@yahoo.es, que por supuesto el empleado de “A” no había escrito. En estos emails enviados al proveedor se veía como a él le habían realizado la misma trampa, le sugerían utilizar un nuevo correo de contacto, completando de esta manera un perfecto Man in the middle vía correo electrónico.

El atacante, que tenía acceso al servidor de correo externalizado de la compañía “A” estuvo buscando buzones de correo, hasta dar con uno que manejara cierta responsabilidad en compras. En ese momento solo tenía que ponerse en medio de la comunicación diciéndole al empleado de “A” que utilizara un nuevo correo que él controlaba y lo mismo al proveedor. De esta manera todos los correos que a priori no son importantes para el atacante, tan sólo eran reenviados, a la espera de llegar a la fase de facturación y trasferencia, donde aprovechaba para introducir su propia cuenta bancaria.

Durante la investigación realizada se identificó que los estafadores utilizan una especie de red TOR situada en Nigeria para consultar el Webmail de sus cuentas de Yahoo! creadas. Se identificaron más de 100 IPs diferentes todas geolocalizadas en Lagos (Nigeria). Os dejo una pequeña muestra por si os las encontráis por vuestros logs. Espero que no…

  • 41.138.180.104 : Nigeria (Lagos)
  • 41.138.191.3: Nigeria (Lagos)
  • 41.71.172.3 : Nigeria (Lagos)
  • 41.71.176.164: Nigeria (Lagos)
  • 41.138.181.105: Nigeria (Lagos)
  • 41.71.150.227: Nigeria (Lagos)
  • 41.138.172.30: Nigeria (Lagos)
  • 41.71.178.215 : Nigeria (Lagos)
  • 41.71.171.78: Nigeria (Lagos)

Nos consta que este tipo de timos se están realizando a otras compañías, por lo que vigilad bien vuestro servidor de correo, en especial si lo tenéis externalizado en grandes proveedores de servicios que ofrecen un precio increíblemente barato, que salen habitualmente en la tele, pero que no se toman en serio la seguridad de los datos de sus clientes.

¡WiFi Gratis! o el efecto polilla

Aprovechando una maqueta que tenía montada para un proyecto y esos buenos ratitos en la T4 de Barajas esperando ese enlace que nunca llega, me dispuse a realizar un pequeño experimento del nivel de concienciación que hay en cuanto al uso de puntos de acceso WiFi públicos. La infraestructura era simple: un portátil, un pincho 3G y una tarjeta Wifi RT2500 USB (vieja ya, pero va de lujo). No daré muchos más detalles técnicos porque tampoco es el caso, pero por si tenéis curiosidad: Debian, con hostapd para la parte del punto de acceso, iptables para enmascarar, dnsmasq como DHCP y PPTP para la parte del 3G.

La idea era levantar un punto de acceso WiFi sin ningún tipo de control de acceso, es decir sin autenticación ni cifrado, ofreciendo conexión a Internet gratis. La verdad es que el entorno era bastante favorable ya que en la T4 existen un par de zonas Wifi pero de pago, por lo que eso hizo incrementar notablemente el efecto llamada. Al utilizar una tarjeta WiFi USB con antena integrada, la potencia de la señal hacía que la gente tuviera que acercarse bastante para obtener cobertura. Me hubiera gustado hacer una foto aérea del entorno, pero imaginar cual bombilla en la noche cortejada por un enjambre de polillas, a gente variopinta con variopintos dispositivos, todos a la caza de la señal inalámbrica. Resultaba todo bastante gracioso.

Pues bien como comentaba, el objetivo era observar el número de personas y dispositivos que sin ningún reparo se conectan a una red no confiable y la utilizan para acceder a servicios Web con información sensible (analizando peticiones DNS). En un período de una hora, se conectaron un total de 28 dispositivos con la dispersión del gráfico siguiente.

Destacar que la gran mayoría de ellos accedieron a información que no deberían haber accedido desde una conexión pública no confiable.Creo que todo lector de este blog conoce los riesgos de estas prácticas pero por si acaso los recordaremos.

La información que se transmite desde tu dispositivo (portátil, Smartphone, tablet, etc) hacia la red de Internet, viaja por una serie de elementos (encaminadores) hasta llegar al destino donde reside los datos requeridos. Pues bien, si alguno de esos elementos u otros que se encuentren por el camino, son controlados por gente con malas intenciones, tu información sensible (contraseñas, correos electrónicos, documentos, etc.) podría verse comprometida, siempre y cuando no se adopten las mediadas de seguridad adecuadas. Normalmente uno deposita parte de su confianza en su operador de Internet (ADSL o cable), pero en el caso que nos ocupa, el hecho de conectarse a un punto de acceso que se desconoce quién controla, puede exponer de manera peligrosa la información de sus usuarios.

De esta manera recomendamos el uso de puntos de acceso públicos tan solo para acciones que no conlleven el intercambio o acceso a información privada del usuario (consultar la cartelera, buscar lugares en el Maps o acceder al periódico en su versión digital), instando a acceder desde redes más confiables (por ejemplo desde tu casa) a servicios más sensibles, siempre comprobando la legitimidad de la página a la que uno se conecta mediante https y controles similares.

(Para aquellos interesados, la solución a la sopa de letras de ayer ya está publicada en el post)