RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Ingenieria Social ’ Category

 

Si me he animado a escribir este post es porque veo hace algún tiempo que los “hackers” y políticos peruanos vienen escribiendo una novela de amor y odio al mejor estilo mexicano y venezolano, parecen haber copiado un libreto de “Rubí”, “María la del Barrio” y “Los ricos también lloran”, novelas que mi señora madre solía ver con tanto esmero y que aun sigue viendo en un canal de cable cada vez que se apodera y conquista el televisor de la sala de mi casa. Esta novela tiene de todo: amor, odio, mentiras, terceras persona metiendo su cuchara, celebraciones (de “hackers” y “contrahackers”), parece que lo único que le falta para ser lanzada al éxito es: televisión, sólo le falta la bendita televisión y mucho morbo. Pero iniciemos esta novela de amor y odio con el evento más reciente que debe haber asustado a muchos y seguro hizo que todos cambiaran sus contraseñas de acceso en la Presidencia del Consejo de Ministros (PCM), el caso Cornejo, iniciemos:

 

1. Caso Cornejo

René Cornejo Díaz, el ex presidente del Consejo de Ministros del Perú, fue como todos sus antecesores llamado con todos los adjetivos “habidos y por haber”, desde incompetente hasta pajero, así de linda es nuestra política, la apolillada política peruana. Bueno, para resumir esto, el ex premier tuvo que dejar el puesto y escapar “entre gallos y medianoche”  debido a un eventual Complot contra Víctor Andrés García Belaunde por parte de su ex hombre de confianza; así fue como dejo con más pena que gloria  la presidencia del consejo de ministros, pobre ….. su nombre y honra están quemados (como casi todos los ex – premiers).

Tan sólo un par de semanas después, cuando el señor Cornejo debería estar descansando en su casa de campo y olvidándose de ese trago amargo por el que pasó, le revienta en la cara que alguien ha violado su privacidad y ha publicado sus correos electrónicos, tres mil (3000) correos electrónicos vulnerados en donde no se distingue de correos personales y correos de trabajo, adiós privacidad.  Correos electrónicos donde deben haber contraseñas de acceso, planes de gobierno, datos familiares, seguridad de estado, es decir, todo lo secreto del Perú expuesto para todo los amigos y no tan amigos de Perú.

 

Martes 05 de Agosto

El Martes 05 de Agosto, que más debió ser el Martes 13 para Cornejo, Lulz Security Perú y Anonymous Perú publicaron que tenían en sus manos los correos electrónicos del ex premier René Cornejo pertenecientes a su cuenta de Gmail.

 

image

 

image

 

image

 

Algunos detalles importantes

 

A. Correo Personal

Se indica que el correo hackeado es rcornejopcm@gmail.com, es decir, un correo de índole personal donde debería haber seguramente no sólo correos de índole político sino correos relacionados a su familia, asuntos personales, cuestiones amorosas, cuentas financieras, proyectos, en fin….. todo lo que se puede manejar en un correo electrónico de Gmail, sólo piensen un poco en lo que ustedes tienen en sus correos electrónicos, pues eso mismo debe tener el Sr. Cornejo en su cuenta de Gmail, que miedo, no?? En referencia a lo de “viejo pajero” sólo puedo….. reírme jajaja, de pronto alguno de los hackers lo ha visto haciéndose una paja para asegurarlo. Hasta la fecha, 07 de Agosto, los links de Mega siguen disponibles.

 

B. Correo de la Presidencia del Consejo de Ministros

Sin duda alguna, Anonymous y Lulz Sec deben de justificar – o justificarse a si mismos -  la intrusión a un correo personal, la única manera de justificar semejante acto es diciendo que lo hacen para ventilar todos los “anticuchos” (actos de corrupción para los no peruanos) que se realizaron durante el periodo que Cornejo fue Premier, que lo hacen por el bien del Perú, que no son delincuentes, que son héroes anónimos, al mejor estilo de Robin Hood y el superyó desarrollado por Freud. Bueno, un día después de publicar la noticia, Lulz Security Perú, decide publicar abiertamente el contenido de uno se los 3000 mil y picos correos en su cuenta de Twitter,

 

image

 

Sin embargo, al hacer zoom sobre la imagen publicado por Lulz Sec, se ve como destinatario el correo de la PCM (Presidencia del Consejo de Ministros), un momento…. no que era el correo Gmail de Cornejo? a menos claro, que el se haya reenviado los correos de la PCM a su cuenta de Gmail, no? de pronto pare tenerlos como backup el día que salga del puesto de Premier.  Sería interesante analizar los headers del correo electrónico pero eso implicaría descargar los correos publicados por estos hacktivistas, abrirlos, leerlos, admitir que se han descargado y admitir que se han sido leídos y finalmente publicar información del correo (las cabeceras), ciertamente no creo que este cerca de la legalidad.

 

1

 

C. Clases de derecho vía Twitter

Erick Iriarte es sin duda el abogado con más actividad en el Perú en lo que se refiere a derecho informático, siempre está publicando información en sus cuentas de redes sociales, publica tanto que dudo mucho que sea él mismo el que publica, debe tener un administrador de la cuenta o algo así, sino es así definitivamente debe vivir casi las 24 horas del día prendido de un celular o una computadora. Erick sin duda se ha ganado el respeto de muchas personas, dentro de las que me incluyo, y aunque no siempre comparto su opinión en temas políticos sobre temas legales sólo debemos aprender de él lo más que se pueda. Aquí algunos tweets publicados por Erick en relación al caso Cornejo:

 

image

 

image

 

Pongan atención a los recuadros de color rojo resaltados en la imagen superior, en resumen no es delito descargar el correo electrónico pero si es delito publicarlos mediante algún medio y siendo súper estrictos, publicar las cabeceras de un correo ya hasta podría considerarse algo ilegal, es mejor no hacerlo.

 

D. Ya se animaron a publicarlos en los medios

Bajo el criterio explicado por Erick Iriarte de “interés público” los medios prensa vienen exponiendo parte del contenido de los correos, supongo que se están matando leyendo los 3000 correos para revisar si hay algo que pudiera ser de interés para publicarlo, si publican algo que no fuera de interés se supone que estarían realizando un delito flagrante. Hasta ahora el caso del que más se habla es del correo enviado por Cecilia Blume, mírenlo aquí (publicado por OjoPúblico):

 

image

 

image image

 

E. ¿Cómo hicieron para hackear el correo de Gmail de Cornejo?

Señores, si alguien les dice con total seguridad como lo hicieron definitivamente es porque tienen una bola de cristal o consultan a un chuman (o ellos lo hicieron), sólo se pueden hacer suposiciones y ninguna puede ser afirmada. Iniciemos:

  • Contraseña de Gmail muy simple o de fácil suposición, quizás el nombre de un familiar directo, mascota, fechas importantes o contraseñas secuenciales para diferentes servicios (por ejemplo: passwordgmail, passwordtwitter, passwordfacebook, es decir, que sólo agreguen el nombre del servicio al final de una única contraseña).
  • Y si su cuenta de Gmail tiene doble factor de autenticación con su celular? de pronto el celular fue declarado de baja y los hackers aperturaron otro celular con el mismo número. Eso es muy común de hacer hoy en día, así ya tenían la clave y también el celular a donde le enviarían el código de verificación. Toca preguntarle a Cornejo esto, nos lo dirá ¿¿¿????
  • De pronto tuvieron acceso a un disco duro olvidado o de pronto a uno que dieron de baja hace poco y recuperaron el archivo de correo electrónico. Tengan en cuenta que se publicaron archivos con extensión EML y no creo que el hacker se haya tomado la molestia de entrar por la web y pasar correo por correo para descargarlos en ese formato, es muy probable que se haya manipulado un cliente de correo de electrónico como Outlook o Thunderbird
  • El soporte técnico de la PCM este involucrado y haya soltado datos a la gente de Anonymous o Lulz Sec. Ya saben: cuentas de administrador y esas cosas.
  • De pronto la contraseña de correo electrónico de Gmail viajaba en texto claro, he visto malas configuraciones de cuentas de Gmail cuando se utiliza un cliente de correo. Hacking rápido.
  • ¿Algún malware instalado en la computadora del ex-premier? Puede ser pero si fuera este el caso seguramente hubieran descargado no sólo correos sino otros documentos. Además si tuvieron tiempo para descargar tantos correos (me refiero al tamaño en conjunto de todos los archivos) seguramente hubieran descargado y publicado otros documentos encontrados.

 

2. Caso Castañeda

Y ya para terminar, antes del caso Cornejo, tuvimos el caso Castañeda. Castañeda es un político de la vieja escuela, un “viejo zorro” como diría mi mamá. Este señor no es santo de mi devoción y yo no votaría por él jamás. Este señor también fue víctima de los hackers, no directamente él pero sino a su Teniente Alcaldesa – Patricia Juárez – aunque la noticia no fue publicada directamente por Anonymous Perú sino por un señor Luis Yáñez parece que estuviera involucrado Anonymous Perú.

 

image

 

Existen más casos como los del ministerio del interior: Walter Albán y Wilfredo Pedraza, los casos de los PetroAudios, casos de músicos hackeados como GianMarco, etc etc., sin embargo vamos a dejar el recuento aquí nada más.

 

Cuestiones Finales

Voy a dar algunas de mis apreciaciones sobre los casos expuestos arriba, son opiniones y estando en un país libre pueden estar de acuerdo o en desacuerdo, aquí (al menos en este blog) todas las opiniones son respetadas siempre que no se hagan con el hígado en la mano y se respete a las personas:

 

1. ¿Por luchar por los derechos y libertades se deben violar los derechos y libertades de otros? En mi opinión NO. Concuerdo con Erick Iriarte.

2. Las acciones realizadas arriba son DELITOS y todo delito es realizado por DELINCUENTES. Por consecuencia las personas que realizaron esto pueden ir a la cárcel y cuando eso ocurra veremos los rostros de esas personas suplicando no ir detenidos, siempre pasa lo mismo.

3. Hay “personas” que se alegran cada vez que hackean a una persona pública (políticos, actores, etc.) o instituciones del estado. Realmente no los entiendo y menos cuando esas muestras de felicidad vienen de personas que pregonan a los cuatro vientos ser “contrahackers”, ya basta de hacer marketing y buscar contrataciones a través de ese mecanismo retrógrado e infantil, es como cuando un niño acusa a otro niño en el colegio por no haber hecho su tarea, brillen por luz propia no por la de otros.

4. ¿Ustedes aplauden a un delincuente en la calle? ¿Por qué lo harían en las redes sociales? La doble moral ¿dónde?.

5. Hay otros que reniegan de la compra de soluciones de seguridad. El problema no son las soluciones, las soluciones funcionan bien en la mayoría de los casos, el problema es cuando estos no se configuran y gestionan adecuadamente o peor aun cuando se dejan instalados con sus opciones por defecto y nunca más se vuelven a tocar. Si escuchan decir a alguien que un firewall, IPS/IDS, proxy, WAF, DBF, etc. no sirve, mejor ignórenlo y piensen: “aquí falta gestión de Seguridad”.

6. Todo se puede resumir en un adecuado “Plan de Seguridad de Información” por parte del estado, un plan que debe ser debidamente gestionado y que va más allá de sólo lo informático (claro que incluye seguridad informática pero es más grande que eso)  y que esperemos algún día el Perú lo pueda implementar, hasta entonces cuando veas noticias de “hacking” y lo compartas o hagas RT, hazlo con el fin de generar conciencia y mejorar la seguridad.

 

***************************************************************

Popularity: 4% [?]

Desde mi abuelita – a quien extraño mucho – hasta mi señora madre, una frase parece haber pasado de generación en generación: “dime con quien andas…. y te diré quien eres”, menuda frase que utilizaban para que no me juntase con chicos de mi edad a quienes mi madre consideraba unos vagos, unos cochinos, unos ociosos, unos piojosos y en general, para todo aquel que podría ser una mala influencia en mi formación., como si la ociosidad y la vagancia fueran un virus el cual se transmite al correr y jugar futbol desenfrenadamente.

Tenía muchas opciones para el nombre de este post, los candidatos fueron: “Pierde tu disco duro y de diré quien eres”, “Wilson, paraíso de información olvidada” y “Dame tu disco duro y te diré quien eres”, obviamente ganó este último. El objetivo de  este Post es mostrar como a través de técnicas forenses vamos a recuperar toda la información posible de un disco duro “olvidado” en el centro Comercial Wilson para armar el perfil del anterior dueño del disco duro, la idea es poder armar un perfil que contenga sus datos principales (nombre, fecha de nacimiento, DNI, dirección, teléfono), profesión, gustos personales, contraseñas, etc.  ¿ Podremos? Aquí vamos una vez mas.

Cuestiones previas:

Si alguna vez has pasado por alguna de estas situaciones, este Post es para ti:

  • Alguna vez te robaron la laptop y tu disco duro no estaba cifrado, tu disco duro debe haber terminado siendo vendido a un extraño. Este Post es para ti.
  • Alguna vez vendiste tu laptop y creíste que formateando o borrando la información de tu disco protegías tu intimidad. Este Post es para ti.
  • Si trabajas en una empresa (privado o del estado)  y suelen dan de baja los computadores cuando se malogran o dejan de funcionar. Oh sí,este Post va dedicado para ti en especial.

 

1. Conseguir el disco duro

Primero toca conseguir un disco duro utilizado en el Centro Comercial Wilson, esta vez si fui al local pionero, al primerizo de los edificios, baje al sótano donde abundan dispositivos de “segunda mano” y fui cotizando un disco duro que me sirviera para este post. Así fue como adquirí un disco duro SATA, de 320GB y para laptop; obviamente lo que buscaba era que el disco duro haya sido antes utilizado y que pueda contener información para ser recuperada.

Compré el disco duro y hasta me dieron 03 meses de garantía, que felicidad!!

1

 

2. Analizando las técnicas de Recuperación de  Información

Un poco de teoría:

Siempre es bueno un poco de teoría para no aprender como funcionan por dentro las cosas, la técnica que vamos a utilizar para recuperar información es conocida como en el mundo forense como  “file carving” que no es lo mismo que “file recovery”, aunque lo que vamos a realizar es recuperar información del disco duro y pareciera que ambos términos son lo mismo ya que el objetivo de ambas es recuperar archivos del disco duro, en realidad son técnicas distintas. ¿Aún no entiendes en que se diferencian? Ok, vamos a explicarlo un poco mejor.

  • File Recovery

La técnica de “file recovery” es utilizada para recuperar información y esta técnica usa el sistema de archivos (NTFS, FAT, EXT3, EXT4, etc.) después de que se ha borrado un documento, dicho de otra manera está técnica es utilizada para recuperar información eliminada del sistema de archivos de un disco duro. Por ejemplo, si tienen instalado “Windows 7” y borran un documento de office, un Word o un Excel, mediante técnicas de “file recovery” existen muchas probabilidades de recuperar el archivo.

  • File Carving

Esta otra técnica, “file carving”, es distinta a la primera explicada. Esta segunda técnica no utiliza el sistema de archivos para recuperar información. Voy a explicar un poco más, cuando contamos con un sistema de archivos (FAT por ejemplo) y borramos un documento, lo que hace el sistema de archivos es modificar el primer caracter del nombre del archivo para ser marcado como un espacio no asignado o también conocido como “unallocated”, eso le indica al sistema operativo que ese espacio puede ser asignado para otro documento de ser necesario por el sistema operativo pero el documento no se ha borrado, sólo ha sido marcado como “unallocated”. Entonces, “file carving” lo que hace es buscar la estructura interna de un documento para poder ubicarlo y recuperarlo.

Vamos a colocar como ejemplo un archivo PDF, toca abrirlo con un editor HEXADECIMAL (en mi caso con Notepad++ y un plugin):

Los archivos con formato PDF siempre comienzan con el “header” : 25 50 44 46 2d 31 2e, como se muestra en la primera imagen inferior y siempre termina con el “footer”: 0a 25 45 4f 46 0d 0a, como se muestra en la segunda imagen inferior. La técnica “file carving” lo que hace es buscar los header y footer (sin importar el sistema de archivos) para recuperar documentos.

image

 

image

 

¿Qué técnica utilizar para este análisis?

Dicho esto y habiendo explicado algo de teoría, toca analizar cual es de las dos técnicas vamos a utilizar. Cuando compré el disco duro el vendedor me aclaró muy enfáticamente: “el disco está formateado, antes tenía Windows 7 y ahora tiene Windows XP, está limpiecito”. Eso quiere decir que han intentando borrar toda la información para vender el disco duro, en este caso no nos interesa el actual sistema de archivos necesitamos buscar la información que se ha intentado borrar al formatear el disco duro, es decir, tenemos que utilizar “File Carving”.

3. Recuperando Información Personal

Ahora sí, vamos a proceder con lo más divertido: recuperar información e iniciaremos a armar el perfil del anterior dueño del disco duro, sin mucho más floro iniciemos!!!. Vamos a utilizar una herramienta free que realiza “file carving”, utilizaremos FOREMOST. Son 320GB de tamaño que cuenta el disco duro y este proceso demora regular tiempo, si alguien va a realizar algún ejercicio similar, tengan paciencia, dejen corriendo la herramienta, vayan al cine, almuercen, duerman y luego revisan el resultado. También he utilizado SCALPEL, que es otra herramienta para hacer “file carving” pero que puede encontrar otros formatos como registros, archivos PST u OST y entre otros.

image

Recuperando Fotos, Correos, Documentos Office

Lo primero que busqué dentro del disco duro fueron imágenes, es evidente que no buscaba cualquier imagen, busco fotos personales del anónimo dueño anterior. Iniciemos:

  • Identificación del anterior dueñoEncontré muchas fotos personales en el disco duro pero la mayoría de una persona, por lo que podíamos presumir que el disco era de esa persona. En las fotos aparece con una menor de edad que al parecer es su hija, cubro las imágenes para no atentar contra las personas identificadas. Ya tenemos el rostro de nuestro anterior dueño.

    2

    Además, todo indica que estudió administración o ciencias contables en la Universidad del Callao (UNAC), por cosas del destino, la misma universidad de la que soy ex-alumno.

    363123154

  • Nombre la empresa, cargo y lugar donde trabajabaLo primero que identifiqué en las imágenes recuperadas es que había demasiadas con logos de establecimientos de “comida rápida” y escarbando un poco encontramos documentos de pagos, aquí identifiqué el nombre exacto de la empresa, es una empresa de comida rápida que en realidad gestiona cuatro (04) establecimientos de comida rápida, para efectos prácticos la llamaremos: Comida Rápida S.A, además encontramos el nombre del Gerente de Turno, encontré el mismo nombre en muchos más documentos, hasta el momento parece que este fuera el anterior dueño del disco duro.

    15

  • Facebook del dueñoHasta ahora, todo lo identificado son conjeturas porque no tenemos nada que lo verifique por completo, pero ya teníamos un nombre y la empresa donde trabaja (o quizás a trabajado porque ya renunció o consiguió un mejor empleo) así que sólo toca realizar una búsqueda en la red social más usada en el Perú – Facebook -  y con algo de suerte encontraríamos información que confirmara nuestras sospechas. Obviamente tengo que tapar el rostro pero en la parte lateral izquierda se puede ver que es Gerente de Turno de Comida Rápida S.A y que además ha estudiado Administración. Listo lo tenemos confirmado!!

    image
    Ingreso mensual del anterior dueño

    No me sorprendió encontrar que les paguen en este Banco, ¿entiende el motivo, verdad?  (algunos seguro que si entenderán)  al parecer no gana mucho dinero nuestro ex dueño de la laptop, lo digo porque en Julio en Perú se recibe el doble del sueldo gracias a las Fiestas Patrias peruanas.

    8

  • Gustos pornográficosSi señores, no se hagan los que nunca han visto pornografía, se identificó los archivos temporales que se descargan de manera automática  en los navegadores cuando se visitan páginas web. Al parecer el anterior dueño tenía gustos algo especiales en cuanto a pornografía, podríamos definirlo como: Porno Amateur y Asiático, sobre todo todo amateur. Se pudo identificar que visita páginas como: www.xvideos.com, manoardiente.blogspot.com, zorras.pe, pornocaleta.com, pornoencolombia.co, culosgratis.com.ve, odiosas.com.mx, entre otras. Parece que la página web “manoardiente” le cae muy bien de apodo.

    4

4. Recuperando información corporativa

Como suele pasar en muchos casos, a los empleados  de una organización se les entrega una laptop, de hecho es muy común que sea así, los computadores en forma de torre están en vía de extinción.  Este parece ser un ejemplo de este caso, aunque no puedo llegar a la conclusión si la laptop era la empresa y el empleado la configuró con información personal o viceversa, es decir, si la laptop era de una persona y lo llenó, configuró e inundó con información empresarial. Sospecho que la laptop era de la empresa porque he encontrado información muy sensible, correos electrónicos, informes, reportes, manuales de uso de sistemas y hasta planes corporativos, no creo que alguien use su laptop personal y le agregue tanta información de la empresa, no? aunque también existen muchos “workaholic” por las calles limeñas.

  • Suciedad durante la preparación de alimentos (seguirán comiendo esto ¿¿¿????)Al parecer, como gerente o administrador de tienda una de las labores es reportar los errores y oportunidades de mejora del local, sin embargo parece  que nunca advirtieron que esas malas imágenes deberían queda en casa, ya sabe…. “los trapitos sucios se lavan en casa”, sin embargo los dejaron abandonados en un disco duro que no fue protegido y aquí están, al mejor estilo de los noticieros gringos.

    279164476

    246157388

     

  • Correos electrónicos corporativos 

    Encontré muchas cosas asociadas a un correo: encontré correos electrónicos enviados, correos recibidos y una lista de correos electrónicos de la empresa en mención.En total encontré 57 correos electrónicos corporativos, aquí una muestra:image

    Correos electrónicos conteniendo información sensible, ¿que tan sensible? pues contraseñas de acceso, parece que en esta empresa también utilizan un patrón de contraseñas de acceso, alabado sean los “patrones de acceso”.

    image

  • Manuales de usuario y contraseñas por defecto 

    No todo lo recuperado son imágenes, se han recuperado archivos PDF, archivos EXCEL y archivos Word, analizar la información que contienen estos documentos toma mucho tiempo y es súper tedioso, de hecho es un trabajo de hormiga. Me pasado todo un domingo revisando la información que estos archivos contienen, si señores no se imaginan lo divertido y excitante que es pasar un domingo abriendo y cerrando archivos PDF.image

    image
    Se imaginan, conseguir un punto de red alámbrico o mejor todavía conseguir una señal wireless para obtener acceso, sabiendo que sistemas usan y que usuario/contraseña por defecto tienen los sistemas, es muy pero muy probable tener acceso a los sistemas de información.

  • Planes corporativos y otros documentos importantes 

    Poder resumir todo lo encontrado es imposible en un sólo POST es imposible, lo encontrado mediante “file carving”  son: cartas de renuncia, documentos de liquidaciones, contratos, hojas de vida, documentos de identidad (DNI) , planes de marketing, informes, reportes, recetas secretas, etc. Aquí sólo una muestra:image

    image

    image

     

  • Imágenes de cámaras de seguridad y seguridad de TISe pudo identificar imágenes de las cámaras de seguridad de los almacenes de la empresa, parece que están bien vigilados.

    110850436 110850463
    110850601 110851022

    En una auditoría de seguridad TI muy seguramente salen reprobados, ya me imagino lo que mi amigo Stanley Velando (auditor) pondría en su informe, realmente hay un desorden alucinante en cuando al cableado. Además pude identificar que los dispositivos que utilizan son en su mayoría DLINK, un dato adicional para buscar vulnerabilidades.

105460433

105460610

  • Metadata de la información recuperadaDe las fotos recuperadas y que son de índole personal, procedí a revisar la metadata de las imágenes con el objetivo de identificar que tipo de cámara utiliza el anterior dueño del disco duro, al parecer utiliza aun un BlackBerry. Pueden analizar la metadata con LA FOCA. Sinceramente escribir este post ya me ha dejado agotado, así que dejaré para la próxima analizar la metadata de archivos word, excel, etc.

    image

5. Conclusiones

Al final podemos concluir lo siguiente y a manera de resumen lo mostraremos en una tabla:

image

Se imaginan lo que se podría hacer con esta información, alguien con malas intenciones podrían:

  • Extorsionar al ex dueño de la información, tiene datos muy confidenciales con los que podrían atemorizarlo.
  • Un hacker podría acceder a mucha información ya que se han encontrado usuarios, contraseñas, manuales, etc.
  • Espionaje industrial, se imaginan lo que podría hacer la “cochina” competencia con toda esta información, todo es dinero en el espionaje industrial.
  • El centro comercial Wilson es una riqueza de información gratuita, imaginen que pasaría si los discos duros de ministerios, el congreso, bancos, seguros, etc. caen en malas manos.

6. Contramedidas y técnicas de seguridad

Finalmente, voy a indicar como hacer para prevenir que exista fuga de información cada vez que desechamos, vendemos o damos de baja un disco duro. Estas son las situaciones más comunes en las que podríamos aplicar las siguientes recomendaciones:

  • Cuando vamos a cambiar de computador, cuando en una empresa van a cambiarte de computador por uno mejor.
  • Cuando vamos a vender nuestra vieja laptop para comprar una nueva.
  • Cuando en una empresa van a dar de baja un computador para reemplazarlo por una nueva.

Cuando alguna de estas situaciones se presente toca realizar un borrado seguro de información, el objetivo del borrado seguro es que la información del disco duro no pueda ser recuperada mediante técnicas de “file carving”, para eso existen diversas herramientas, aquí detallo algunos: ERASER, Disk Wipe y Active KillDisk. Voy a utilizar Disk Wipe para borrar la información, se pueden escoger diversos mecanismos de borrado, entre más pasadas para sobrescribir la información más lento será el proceso. Yo recomiendo 03 pasadas con alguno de los algoritmos remarcados en la imagen inferior, mi disco de 320 GB demoró aproximadamente 04 horas.

 

image

Popularity: 6% [?]

Cuando tenía 16 años, cuando estaba por terminar el último año de colegio y cuando algunos de mis compañeros de aula lloraban ridículamente en medio de un mar de abrazos de despedida causados por el tan -  pero tan – esperado y épico viaje de promoción, a mi me dolía la cabeza. Siempre creí que tales escenas causaban nauseas en mi, desencadenando un pequeño, continuo y desesperante dolor de cabeza, no paso mucho tiempo para darme cuenta que el verdadero origen era otro, uno que me perseguiría por el resto de mi vida, triglicéridos.

Si señores, triglicéridos, y es que en ese momento a parte de no saber que carajos era eso,  no pude advertir lo jodido que sería llevar esa bendita enfermedad por el resto de mi vida. La verdad, he aprendido a cargar con los triglicéridos, tuve que darle una temprana despedida a las hamburguesas, papas fritas, pollo a la brasa y demás comida grasienta y rica de la  monumental gastronomía peruana, supongo que debe ser algún castigo de los dioses nacer en el país que se dice tener la comida más sabrosa del mundo y no poder disfrutarla en su totalidad.

Nunca se me hubiera ocurrido confesar mi dolencia en el blog, jamás!!! porque va en contra de lo que siempre predico, ya saben …. entre menos sepan de uno es mejor, les estás dando menos armas a todos aquellos que se la pasan jodiendo y pegándosela de valientes detrás de un blog, a todos esos estafadores que gastan su tiempo llamando a mi casa con menos ideas en cada intento (ya inventen otra cosa a parte de que estoy en arrestado en una comisaría por favor) y en general a todo aquel retrasado con problemas y complejos de inferioridad que está dispuesto a joder y a vociferar sus traumas en contra de otros por internet.

He decidido confesar mi enfermedad no porque haya renunciado a mi ideal de seguridad de información, sino porque lo que creí  hasta hace poco una enfermedad conocida sólo por mis padres, familiares y amigos muy cercanos es en realidad de conocimiento de todo el Perú, de los 30 millones de habitantes peruanos, de los casi 15 millones de ecuatorianos, de los 17.5 millones de chilenos, 47.2 millones de colombianos y de los 1,351 miles de millones de chinos que muy probablemente – y para suerte mía – no entienden ni una pisca de español.

Si señores con mucho pesar debo decirles que mis datos, nuestros datos, vuestros datos de análisis clínicos lo puede ver “cualquier hijo de vecino” sin tener mucho -  o casi nada – conocimiento informático.

¿Las vulnerabilidades?

1. El muy “difícil” formulario de ingreso

*************************************************************************************************************
- Haga puño su mano por favor -  dijo la enfermera
- ¿No me va doler, verdad? – dijo el chico temeroso
- Listo, ya terminé, sus resultados estarán en Internet por la tarde. Ingrese a esta página web, su usuario es la primera letra de su nombre más su primer apellido.
- ¿Y la contraseña? – pregunté ansioso, esperando un error escandaloso, un error que me permita escribir un post y me generará una mueca de felicidad.
- La contraseña es simple, coloque su número de DNI y ya está.

*************************************************************************************************************

Así terminó la corta, escueta pero fructífera conversación con la enfermera. Es como sacarse la “Tinka” (lotería peruana que nunca ganaré por simple estadística), que te faciliten la contraseña de todos los usuarios del sistema en tan sólo 02 minutos de conversación. ¿Se dieron cuenta del error, verdad? Si no se dieron cuenta aquí lo explico:

A. ¿Ustedes creen que los usuarios cambian las contraseñas por defecto? Mentira, las personas no lo cambian y menos de sistemas que utilizan sólo una (01) o dos (02) veces al año. La gente es perezosa, tiene tiempo para escribir en Twitter todo el puto día pero no tienen tiempo para buscar el enlace de cambio de contraseña.

B. Tenemos un perfecto patrón de contraseñas, el usuario de acceso es SIEMPRE la primera letra del nombre del cliente sumado a su apellido paterno. No se hagan los santos ahora, acaso no es lo primero que ustedes prueban cuando hacen auditorías y análisis de vulnerabilidades, los patrones más comunes a probar son:

- Nombre de la empresa + año actual. Por ejemplo: Empresa2014.
- Nombre de la empresa + 01. Por ejemplo: Empresa01, a veces también se suele probar: Empresa02
- Nombre de usuario + año actual. Por ejemplo: Opalomino2014.
- Y obviamente están las contraseñas más estúpidas de todos los tiempos: [AQUÍ]

C. ¿De dónde sacamos el nombre y los números de DNI?

Se me ocurren muchos pero muchos lugares donde encontrar números de DNI con sus respectivas personas, voy a colocar sólo dos (02) sitios donde encontrarlos:

Nuestra querida red social: Facebook

Facebook es la versión moderna de la caja de Pandora, entrar a Facebook por la mañanas al despertar es encontrarse con un mundo de sorpresas: relaciones que inician, relaciones que terminan, relaciones que habían terminado y que vuelven a iniciar por décima vez, uno se encuentra con despechados, despechadas, con psicólogos frustrados, con acomplejados que reniegan porque pierden licitaciones, gente que no puede contener sus sentimientos, uno más estúpido que el anterior. Gracias Facebook, eres una fuente inagotable de entretenimiento.

Y claro, en Facebook también podemos encontrar números de DNI con sus respectivos nombres, allí están, listos para ser secuestrados por todo aquel que esté mediamente atento. Si no me creen… miren:

image image

El concurso de una camiseta colombiana presentada por “Jimmy Santi” a través de un programa deportivo y miles de peruanos hambrientos de mundial colocando todos sus datos en Internet. Yo se, yo se, Colombia ha hecho un espectacular mundial pero de allí a que los peruanos se aloquen por una camiseta extranjera me parece -  por decir lo menos – bochornoso y penoso.

Los datos los he cubierto con una barra de color negro pero están en la página de Facebook del programa televisivo, así como estos hay miles de concursos realizados por estos señores y por otros programas y siempre dejan todos los DNI expuestos al terminar el concurso.

En el centro comercial “Wilson”

Peruano que se respeta o al menos limeño que se respeta, ha caído en ese cementerio de computadores malogrados, computadores descuartizados, computadores que han sido rearmados tantas veces como un transformer, computadores utilizados (vendidos como nuevos)  y es que todo  aquel componente informático que busquemos será encontrado en el centro comercial Wilson.

image

Pero no sólo se venden computadores, todos saben que ese rinconcito antiguo y de arquitectura colonial también provee a cualquier – sí escuchaste bien a “cualquier” – transeúnte armado de 40 nuevos soles en su billetera todos los datos financieros, datos de identificación personal y de estado civil de todos los peruanos. Sólo es necesario ir con cara de despistado, preguntarle de manera sigilosa al morenaje que está parado como vigilante en la puerta de la casona, mostrarle con recelo el dinero, negociar el mejor estilo peruano y brindarle tu memoria USB para obtener los datos necesitados.

Hace como un año el amigo de un amigo estuvo por esos lares, no es que haya querido comprar algo de lo que venden, jamás!!! digamos que estuvo  haciendo algo de turismo extremo y le copiaron unos archivos, de hecho le copiaron unas carpetas a su memoria USB, todo por la módica suma descrita arriba. La imagen está distorsionada por obvias razones.

 

dnis

 

 

 

Lo alucinante de esto  es que todo ocurre a vista y paciencia de todos,  además, todos en el Perú sabe que esta información la comercializan sin ningún pudor y nadie hace nada, la ley contra delitos informáticos (Ley Beingolea) y la ley de protección de datos personales, ley 29733, son un saludo a la bandera. 

¿Y como exploto la vulnerabilidad?

De hecho, ya todos los que leen esto deben imaginárselo, cojan el IDE  que más les guste y desarrollen un script que coja los nombres, los números de DNI y utilícenlo como usuarios y contraseña. HTTPLib, URLib y CURL son buenas librerías a utilizar con python y php respectivamente. Allí lo voy a dejar. 

¿Soluciones?

De hecho hay varias y todas muy factibles de aplicar:

  • Generación de clave aleatoria para el primer ingreso. Nadie debería poder adivinar esta contraseña, deberían entregarte la contraseña en un sobre cerrado por ejemplo.
  • Forzar el cambio de contraseña tras el primer ingreso al sistema. (a mi  no me solicitó el cambio de contraseña).
  • Complejidad de contraseñas: caracteres alfanuméricos, por lo menos una mayúscula y por lo menos un caracter extraño.
  • Y, obviamente en la actualidad con todo el malware y mecanismos de hacking que existen, esto no basta pero créanme con eso ya estamos haciendo bastante.

 

2. Mala gestión de sesiones

Aquí no acaba todo, por si no fuera suficiente con todo lo explicado líneas arriba, me terminé yendo de narices al entrar al sistema y revisar mis resultados médicos, que por cierto esta vez tenían buenas nuevas para mí, es decir, los triglicéridos se habían ido a tomar un descanso y yo estaba muy bien. Encontré errores garrafales, me encontré en el terreno de lo incierto no sabía cuantos errores más podría encontrar, errores que bordeaban muy claramente la pelotudez y que hacen que todos los datos con información sensible sean vulnerables.

Iniciemos rápidamente, el análisis:

  • Cualquiera puede cambiar la contraseña de otro usuario

Obviamente lo primero que tocaba realizar después de encontrar ese fallo de seguridad era cambiar mi contraseña, ponerle una contraseña respetable, una contraseña tediosa, rimbombante y que contrastara con la primera ridícula contraseña entregada. Sin embargo me di cuenta que en la parte superior, la URL contenía un código de usuario, entonces supuse que ese era el código interno que me había generado el sistema, un código de cliente. Obviamente estoy tapando la URL (en la imagen inferior) y sólo dejo parte de mi código de usuario.

pass

 

Entonces, se me ocurrió editar la URL y colocar otro código de usuario, sólo seguir la secuencia, es decir, si mi código de usuario termina en 74095 que tal si prueba con un código que termine en 740976 o 74097 y ver que ocurre. Al parecer los desarrolladores  pensaron que utilizando un poco de JavaScript podían evitar que otra persona cambie las contraseñas de otro usuario, de hecho utilizaron el método OPEN del objeto WINDOW pero obviamente esto es fácilmente de bypassear.

 

pass2

Así que decidí cambiar el código de usuario y listo, sistema vulnerable. Resulta que cualquier usuario podría cambiar la contraseña de cualquier otro usuario.

pass4

 

  • Cualquiera puede ver mis exámenes médicos

Al final esto es lo más grave, el error descrito arriba se debe a una mala gestión de sesiones, es decir, al cambiar de página web no existe un pedacito de código de programación que valide si existe una sesión creada por cada usuario logueado en el sistema y que restrinja las opciones de acceso. Entonces, sólo tocaba verificar si los resultados de mi examen los podía ver cualquier usuario o peor aún cualquier persona SIN NECESIDAD de ingresar al sistema.

Abrí otro navegador, copié la URL de mi examen médico y lo pegue con ansias, lo correcto hubiera sido que me redirija a una página de ingreso de credenciales pero lamentablemente mi examen médico y mis triglicéridos son expuestos a cualquiera.

En conclusión, cualquier persona  – sin necesidad de tener un usuario en el sistema – puede ver los exámenes médicos de cualquier otro, dicho de otra manera, todos pueden ver de que enfermedades puede uno sufrir. Malaso!

examen2

 

¿Y , ¿cómo lo hago?

De hecho es demasiado simple, toca coger la URL que tiene una estructura como esta: “http://www.pagina.com/resultado.php?orden=2014000001”, copiarlo en cualquier browser y listo, tienes los resultados médicos sin requerir un usuario y contraseña. Para ver los resultados médicos de otra persona sólo toca ir modificando la serie, es decir, sería algo así: “?orden=2014000002” y luego “?orden=2014000003”, si se dan cuenta los primeros 04 dígitos corresponden al año y luego los siguientes al número de la orden (miren la imagen en la parte inferior) que es un número secuencial.

image

Descargar la página web de resultados con algún script es sumamente sencillo, de hecho aquí les dejo un script de como descargar páginas – en internet abunda información –, obviamente con el script que está en la parte inferior no van a poder descargar realizar ningún ataque, estaría loco si publico algo así.

 

 

Google Hacking

También me pregunte si el crawling de Google había visitado alguno de los sitios web, la imagen en la parte inferior evidencia que Google también conoce el resultado de algunos exámenes médicos, pero lo más grave de todo es que ahora si alguien que encuentra estas URL se dará cuenta que no hay una gestión de sesiones adecuada.

google

 

 

Ley de Protección de Datos Personales, 29733

Mi tesis de maestría es sobre la Ley de Protección de Datos Personales y en la empresa donde trabajo – Kunak Consulting – brindamos consultoría sobre la implementación y adecuación de las empresas a esta ley. La vulnerabilidad encontrada y descrita en este post está totalmente relacionada a este tema, así que toca explicar algunos detalles sobre la misma:

Fuentes:

  • Reglamento de Ley de Protección de Datos Personales: [AQUÍ]
  • Directiva de Seguridad de la Información dada por la Autoridad Nacional de Protección de Datos Personales: [AQUÍ]

Datos sensibles:

La ley indica como datos sensibles lo siguiente:

image

Categorización:

Además, los requisitos como las medidas de control varían dependiendo del tipo de la clasificación de los datos personales, la directiva de seguridad de información indica lo siguiente en este caso (ver imagen inferior) y la clasificación del tratamiento para estos datos personales caen perfectamente en COMPLEJO y CRÍTICO en algunos casos. Por ejemplo, cuando se habla de “en múltiples localizaciones” se hace referencia a la TRANSFERENCIA de información, tema tratado ampliamente en la ley y cuando se habla de “respaldada por una norma legal”, pues como sabrán es obligatorio por las empresas que los empleados de una organización sean sometidos a exámenes preventivos anuales y finalmente los datos sensibles, hacen referencia a información sobre la salud.

 

image

 

Datos finales:

  1. Como verán no se ha utilizado ninguna herramienta de búsqueda de vulnerabilidades, todo lo realizado fue a través de un browser y un teclado.
  2. Reporté el error a la empresa en cuestión (que no ha sido mencionada), indicándoles que como un cliente de ellos y que almacenan mis exámenes médicos tenían una grave vulnerabilidad, sin embargo, hasta la fecha no hay respuesta al correo enviado ni a la llamada telefónica realizada.
  3. Ojala identifiquen su vulnerabilidad porque me imagino que exponer triglicéridos como en mi caso no es tan grave pero estoy seguro que puede haber información extremadamente sensible.

 

********************

Me encontré con una canción muy buena hace poco, la comparto porque cuando se tiene triglicéridos pareciera que uno sólo quiere “Vacaciones permanentes”.

Popularity: 6% [?]

metroMientras entraba lentamente una vez más al Metropolitano de Lima durante aquella noche abarrotada de un mar de gente (o GENTES como dirían en México), un ansioso emprendimiento por escribir en mi blog me inundó, la falta de tiempo que siempre se apodera y devora mis ganas de escribir desaparecieron raudamente y atrevimiento inusual por escribir se apoderaron de mis dedos.

Tras un raudo ingreso al Metropolitano y  aplastado contra una de las puertas por una chica entradita en carnes, inicié una especie de monologo interior con mi conciencia, la misma que me reclamaba con incisivos apuntes el motivo por el cual no le dedicaba más tiempo a escribir en este mi querido y semi abandonado blog, no obstante, mi conciencia respondía con argucia ya que no estaba dispuesta a dejarse doblegar por el ímpetu que me embargaba de sobremanera en ese momento.

Mientras rebotaban decenas de ideas en mi cabeza, decidí realizar unas pequeñas cuentas (o hacer números como he escuchado por allí) sobre el tiempo que paso en el Metropolitano, veamos…. 2.5 horas diarias x 6 días semanales, me da un total de 15 horas semanales, ahora… 15 horas semanales x 48 semanas que tiene el año, eso suma un sustancioso … WTF!!! 720 horas anuales, eso quiere decir, que paso 90 días laborales en el Metropolitano, trabajo gratuitamente 03 meses en un ómnibus mugroso, repleto de gente y totalmente incomodo (y para rematar pesimamente diseñado por un ex alcalde sinvergüenza!!), que desperdicio de tiempo, se me va la vida – me dije a mi mismo.

Allí estaba yo, aún aplastado por la mofletuda chica, cuando de pronto miré mi celular y harto de revisar las últimas y calientitas novedades del Facebook, decidí encender clandestinamente algunas tools que tengo instaladas en mi aparato móvil para husmear y meter mis narices donde nadie me ha llamado,  ¿por qué? y ¿para qué? sólo para…. hacer algo más productivo que mirar el rostro anestesiado de una chica y para escribir algo más tarde en el blog acerca el poco nivel de conciencia en cuanto a seguridad de información que tienen las personas que se conectan a redes wireless muy lindamente OPEN;  algunos dirían que lo hago para joder, yo digo que lo hago para realizar un interesante estudio.

NADA DEL OTRO MUNDO…

Como ya estaba montado en el Metropolitano, decidí hacer algo de SNIFFING en la red para revisar el tráfico de aquellos incautos que se conectan a la red wireless OPEN que muy gentilmente ha decidido brindarnos el Metro de Lima, es decir, mientras el iba en el Metro y mientras este paraba en cada estación me puse a realizar algo se SESSION HIJACKING y capturar algunas cookies. Obviamente esto no tiene nada de especial y si alguien aun no tiene idea de como hacer esto manualmente sin una tool puedes revisar este POST donde realicé un videotutorial sobre este tema: AQUÍ

Como no todos los que estén leyendo este POST tengan idea de que cosa es el Metropolitano de Lima, pues son una serie de buses que se detienen a cada dos o tres cuadras no muy largas a recoger mas pasajeros y obviamente (lo que nos interesa) en cada parada cuenta con una Access Point marca CISCO que brinda internet FREE para los incautos… digo… para los eventuales pasajeros.

Aquí los resultados del SESSION HIJACKING realizado en el Metropolitano, en total obtuve 34 sesiones de Facebook vulnerables, todo esto aproximadamente en un recorrido de 50 minutos en el Metro en una hora punta del día (por eso me aplastaba la chica entradita en carnes).

image

 

image

 

image

 

Aquí les muestro un fragmento de la ruta que seguí en el Metropolitano y es que también me puse hacer algo de WARDRIVING, ahora pueden ver con más claridad donde es que se detenían para que suban más pasajeros, sólo que ya no se porque se detenían si el Metro ya estaba repleto.

ruta

CONCLUSIONES

  1. ¿Culpa del Metropolitano? Sinceramente no le veo responsabilidad, el Metro ofrece Internet gratis a las personas que usan el servicio, que quede claro que el servicio es el TRANSPORTE, el colocar internet es casi…. no se …. ¿cómo llamarlo? una monería (así dice mi Sra. madre). Aunque podrían emplear alguna técnica de mitigación de MITM en los AP Cisco, si han sido observadores los AP que adquirió el Metro son los CISCO AIRONET como la siguiente imagen, en teoría el fabricante dice que si provee protección…. pero… ver para creer!

    aironetcisco

  2. ¿A quién la echamos la culpa? Sinceramente sólo al nivel de conciencia y conocimiento que tienen las personas de usar aplicaciones mediante protocolos NO SEGUROS (HTTP) en vez de usar protocolos de envíos de información mas robustos (HTTP + SSL). También capture el tráfico con SHARK (como el Wireshark pero para Android), en la imagen muestro la cantidad de tráfico hacia los servidores de Facebook y que los mismos viajan en HTTP.

    image

    image

  3. Las sesiones capturadas fallecen cuando el usuario cierra sesión del Facebook, así que si capturé esto por la tarde de hoy…. es 99.9% probable que ninguna de las sesiones siga viva a las 2:27 am que estoy terminando de escribir este POST, la verdad (y para que no salte alguien con un comentario absurdo)… no entré a ninguna sesión de Facebook porque simplemente da mucha pereza, no era el objetivo de esta entrada y porque finalmente no me importa la vida del resto (ya tengo suficiente con la mía).

Saludos a todos espero que se hayan entretenido leyendo esto.

Popularity: 30% [?]

Hacked by @CMontoro

anonymous-tyler

Somos Anonymous, somos legión, no perdonamos, no olvidamos….. Espéranos PALOMO!! vamos por ti más abajo.

        

Por enseñar técnicas de hacking sin cobrar, por enseñar que el hacking no es un acto de magia sino de conocimiento y sobre todo por no escribir continuamente en el blog y desaparecerte algunos meses de Internet; Anonymous ha decidido lanzar su operación “Feliz día de los Inocentes” y vulnerar sin razón alguna la página del Palomo.com

     

Tranquilos…. nadie nos ha hackeado así que… FELIZ DÍA DE LOS INOCENTES, espero hayan entendido la broma y gracias a mi amigo Carlitos por permitir que ponga su nombre como autor intelectual de este autohacking, @CMontoro.

fotolimahack2012

Saludos,

Popularity: 76% [?]