RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Ingenieria Social ’ Category

nunca confies en miHace un tiempo atrás leí una novela cuyo título me gustó mucho, Nunca confíes en mí , menudo nombre para una obra literaria no les parece?? La obra narra de manera espléndida el calenturiento y tormentoso amor entre Amanda y Gabriel, dos amigos de colegio que se reencuentran después de largos años despertando sus mas bajas pasiones y viviendo historias sin dudad cotidianas pero que encienden  el morbo de cualquier lector con ánimos de divertirse (mientras los protagonistas no seamos nosotros). El autor de esta obra es el peruano  Renato Cisneros y que tuvo la magnífica idea de terminar la obra de la mejor manera que se puede terminar una (y que contraviniendo las buenas costumbres sociales voy a proceder a contar), traicionando la confianza de sus amigos Amanda y Gabriel – los protagonistas de la obra – y  publicando la novela con los detalles del sórdido amor que habían vivido, colando como parte final del libro la frase que dio nombre a la obra: “Nunca confíes en mí”.

Recuerdo haber obsequiado este libro hace ya algún tiempo y es que no hay nada mas excitante que regalar un rompecabezas listo para ser armado por nuestra imaginación (y por nuestras vivencias), una buena novela literaria. Así que si alguna vez obsequié este libro, créanme fue el mejor regalo que pudieron haber recibido de mi (ya dejen de acusarme de tacaño por favor Smile).

 

 

¿Y qué tiene que ver todo esto con seguridad de información?  pues en mi último viaje a la ciudad heroica de Tacna [ver AQUÍ] realice 02 Charlas y 02 Talleres sobre seguridad informática y decidí realizar un experimento con los participantes del evento, el experimento consistía en que los participantes me brinden muy generosamente toda la información de sus celulares obviamente de la manera mas sutil posible y sin que ellos pudieran advertir lo que en realidad estaba ocurriendo. Aquí les explico como pero primero la respectiva ficha técnica:

  • Número de participantes: 20 personas aprox.
  • Edad de los participantes: Entre 20 y 30 años
  • Grado académico: Estudiantes y egresados de ingeniería de sistemas y computación
  • Lugar: Tacna – Perú (Universidad Nacional Jorge Basadre)
  • Nivel de seguridad informática: media (o quizás baja después del experimento)
  • Impulso para ganar: una camiseta del Blog de Omar

¿Quieren ver el premio que el feliz hackeado ganador se llevo por entregarnos toda la información de su celular? Pues aquí se los dejo y espero poder regalar más en mi próxima charla.

 

20141009_220641

Hackeando un Android

Volvamos a lo nuestro que es seguridad, entonces ¿cómo hackeamos un Android? de hecho la principal vulnerabilidad en los sistemas Android proviene de las aplicaciones que instalamos, debemos reconocer que pertenecemos (me incluyo) a una cultura totalmente Windoneana donde somos felices dando clicks en “Next, Next y Next” para instalar aplicaciones, pues aquí radica nuestra principal debilidad en instalar cualquier tipo de aplicación sin antes verificar los permisos y el origen de la misma. Aquí vamos explicar la manera más rápida y fácil de poder hacernos de información de un sistema operativo Android, vamos con los pasos:

  1. Ingeniería Social

    El truco para el éxito de este ataque consiste en ganar la confianza de la(s) otra(s) persona(s) para que se instalen la aplicación con toda la confianza del mundo, alguna de las ideas más utilizadas son las siguientes:

    - Google Play: El truco de los atacantes es engañarte mostrándote aplicaciones milagrosas en el store de Google, hasta la fecha se han detectado muchas – muchísimas – aplicaciones maliciosas en Google Play y es que basta subir aplicaciones con permisos “READ_EXTERNAL_STORAGE” y eso es todo, aquí pueden ver claros ejemplo de los que les cuento:

    * Aplicación maliciosa para hacer Dieta: [AQUÍ]
    * La estafa de la linterna milagrosa en Android: [AQUÍ]
    * 10 millones e aplicaciones maliciosas en Android: [AQUÍ]

    Basta con buscar “WhatsApp” en GooglePlay para obtener varios cientos de resultados, cada aplicación relacionada a WhatsApp que se muestra realiza alguna “maravilla”, ¿ustedes creen que realmente hacen esas maravillas?

    image



    - Instalar aplicaciones de terceros: El engaño de los atacantes consiste en lograr convencerte que puedas instalar una aplicación que no se encuentra en Google Play por cualquier motivo, por ejemplo yo le pedí a las participantes de mi experimento que lo instalaran porque el que contestaba todas las preguntas correctamente se llevaba una camiseta del blog Smile.

    - “Me prestas tu celular”: Es muy común que te pidan prestado tu celular, no? ya saben….. sólo quiero ver tus fotos, quiero entrar a una página de Google o quizás quiero instalarte algo sin que te des cuenta. La instalación de un APK malicioso demora menos de 60 segundos, así que nunca presten su celular, jamás!!

    image

  2. Instalando la Aplicación

    Una vez que hemos logrado ganar la confianza de nuestra víctima mediante alguna de las técnicas arriba descritas, tenemos que instalar la aplicación maliciosa. Aquí también tenemos algunas opciones para poder instalar la aplicación maliciosa, voy a colocar 02 ejemplos:

    * ANDRORAT: Una RAT (Remote Administration Tool) es una herramienta que nos permite administrar remotamente un dispositivo y en este caso específico un celular con el sistema operativo Android, de hecho, ANDRORAT es un proyecto escrito hace 02 años, por el 2012 para ser más exacto y que contiene algunas librerías que no están actualizadas para las últimas versiones del sistema operativo. La mejor manera de instalar ANDRORAT es “bind-eandola”, es decir, ocultándola dentro de otra aplicación  y que cuente con un funcionamiento básico.

    Para nuestro experimento lo escondimos en una aplicación que se llama “Trivia El Palomo” que contenía un pequeño cuestionario sobre preguntas de seguridad, el que respondía correctamente se hacía acreedor a una camiseta del blog.


    1 2


    Enlaces de ayuda:

    - AndroRat: El proyecto lo pueden encontrar [AQUÍ]
    - Versión “Trivia El Palomo”: La versión de AndroRat que hemos utilizado tiene una trivia y se han reemplazado algunas referencias para eliminar errores que aparecían en las nuevas versiones de Android (sobre los errores pueden leer aquí: LINK-1 y LINK-2). Les dejo el código para que lo puedan compilar por ustedes mismos si es que así lo requieren. Los créditos de esta versión se los lleva mi amigo Billy Grados, le pueden escribir a: billy.grados@gmail.com. Esta versión la pueden encontrar [AQUÍ]. (Cuidado que algunos Antivirus los reconocen como virus) 

    3




    * METASPLOIT: Todos ya conocen Metasploit, es seguramente la herramienta de hacking rápido más usado en la actualidad y no podía estar ajeno al hacking de Android. Lo que hace básicamente es generar un APK malicioso que ejecuta una sesión Meterpreter en el celular, es bastante sencillo el generarla.

    image



  3. Extrayendo la información

    * ANDRORAT: En el caso de haber logrado el acceso al celular mediante Androrat, digamos que tenemos 02 opciones para poder obtener acceso:

    Opción I: Haber configurado una dirección IP pública en la aplicación Android instalada: Si hicieron esto es porque desean tener acceso al celular desde cualquier lugar, entonces necesitan un servidor con una dirección accesible desde Internet. Esto lo pueden hacer a través de una configuración en sus routers caseros (NO-IP + NAT) o lo pueden hacer si es que alquilan un servidor VPS (Virtual Private Server) por unos meses, de hecho está se pueden conseguir por precios que no pasan los US$ 8 dólares mensuales.

    Opción II: Configurar una dirección IP no pública, es decir, que pueda ser utilizada en una red LAN, por ejemplo: 192.168.X.X, 172.16.XX. Si deciden colocar una dirección IP no ruteable tocará esperar a que el atacante y la víctima se encuentren en la misma red LAN. ¿Ya se les ocurren situaciones donde esto podría servir? Por ejemplo, en el caso de un(a) esposo(a) celoso(a), en el caso de una señora madre de familia preocupada por lo que sus pubertos hijos o hijas calenturientas hacen por internet, etc.; se requiere como base que el atacante y la víctima estén en la misma red LAN en algún momento del día (o cuando se conecten a la red wireless de la casa).

    Para nuestro experimento, hemos utilizado un servidor Ubuntu VPS que se encuentra en Internet con una dirección IP pública. Aquí las imágenes donde se muestra:

    - La conexión realizada entre el AndroRat y el dispositivo Android
    - Acceso a los mensajes SMS recibidos y enviados en el celular
    - Acceso a las imágenes recibidos a través de WhatsApp (en general acceso a todos los archivos del SDCARD)
    - Acceso a las bases de datos CRYPT7 que contienen las conversaciones de WhatsApp

    image 

    2014-10-22_23-58-14 

    image

    image 

    * METASPLOIT: A diferencia del AndroRat, en el caso de utilizar Metasploit necesitamos que la aplicación instalada sea abierta, es decir, no sólo que sea instalada sino que este en uso para establecer la conexión. La conexión se realiza según la imagen inferior y la sesión Meterpreter ya es bastante conocida, podríamos descargar los archivos que necesitemos como las imágenes y la base de datos de conversación de WhatsApp.

    image

    image


  4. Bonus Track

A. Descifrando WhatsApp: Lo primero que hay que tener en cuenta es la fecha de realización de este post, Octubre de 2014, es importante mencionarlo porque los mecanismos de cifrado de WhatsApp cambian frecuentemente así que es muy posible que si leen este post en algunos meses el mecanismo mostrado ahora ya no sirva. Dicho esto, les comento que en la actualidad WhatsApp se necesita lo siguiente para descifrar WhatsApp:

* Obtener el archivo “KEY” el mismo que está en la siguiente ruta: /data/data/com.whatsapp/files/key –  se requiere tener rooteado el celular para acceder a ese archivo.
* Obtener los archivos “CRYPT7” que contienen las conversaciones cifradas de WhatsApp, estos archivos están en: /sdcard/whatsApp/Databases/
*
Para descifrar los archivos “CRYPT7” utilizaremos la aplicación “WhatsApp-Viewer”, el proyecto lo pueden descargar de [AQUÍ]

Consideraciones Importantes:

- No se puede obtener el archivo “KEY” remotamente si es que el dispositivo no esta rooteado. No se puede y no insistan con esta pregunta. OJO: Sí se puede de manera local pero para nuestro caso que es hackear remotamente un Android no hay manera.
- El archivo “KEY” sólo puede ser obtenido en dispositivos Android 4.0 o versiones anteriores, esto ocurre porque extrañamente en estas versiones el archivo “KEY” tiene los permisos para poder ser descargados, en las nuevas versiones sólo tienen permisos de lectura y escritura para ROOT.


image

image



2014-10-29_21-33-43


B. Mi querido Perú: Si de algo no me cabe la menor duda es que los peruanos hemos desarrollado un talento especial para la imaginación, siempre se nos ocurre algo para poder obtener algún beneficio. Lamentablemente no siempre va por el lado de la legalidad (pequeño detalle, no?). Bueno esta vez, a una empresa y página peruana se le ocurrió la maravillosa idea que vender celulares Android hackeados, es decir, vender el celular Android con una versión customizada de AndroRat para espiar de manera ilícita a la víctima. ¿ No me creen? pues aquí la página peruana. De hecho es súper fácil ubicarlo a través de Google. Lo divertido del asunto es que venden una membresía Gold y Platinum jajajaja.


2014-10-29_22-40-58

 

Finalmente…. ¿ Cómo evito que esto me pase?

  • No instales aplicaciones “milagrosas” en tu celular, ni siquiera desde el GooglePlay
  • No instales aplicaciones de un origen desconocido, es decir, aquellas que no estén en el GooglePlay
  • ¿Tener un antivirus instalado en el celular ayuda? Sí ayuda pero no es la solución, por ejemplo, en los casos mostrados en este post el antivirus McAfee no ha reconocido la aplicación creada por MetaSploit como una aplicación maliciosa, el AndroRat si fue reconocido como aplicación maliciosa. En otro post escribiré como funcionan los antivirus en Android.

    2014-10-29_23-30-46

  • Revisa los permisos aceptados al instalar aplicaciones en tu celular, olvídate del “Next, Next, Next” al estilo Windows.
  • Finalmente, “nunca confíes en mi” cuando te diga que te instales una aplicación.

 

********************************************************************

Popularity: 2% [?]

 

Si me he animado a escribir este post es porque veo hace algún tiempo que los “hackers” y políticos peruanos vienen escribiendo una novela de amor y odio al mejor estilo mexicano y venezolano, parecen haber copiado un libreto de “Rubí”, “María la del Barrio” y “Los ricos también lloran”, novelas que mi señora madre solía ver con tanto esmero y que aun sigue viendo en un canal de cable cada vez que se apodera y conquista el televisor de la sala de mi casa. Esta novela tiene de todo: amor, odio, mentiras, terceras persona metiendo su cuchara, celebraciones (de “hackers” y “contrahackers”), parece que lo único que le falta para ser lanzada al éxito es: televisión, sólo le falta la bendita televisión y mucho morbo. Pero iniciemos esta novela de amor y odio con el evento más reciente que debe haber asustado a muchos y seguro hizo que todos cambiaran sus contraseñas de acceso en la Presidencia del Consejo de Ministros (PCM), el caso Cornejo, iniciemos:

 

1. Caso Cornejo

René Cornejo Díaz, el ex presidente del Consejo de Ministros del Perú, fue como todos sus antecesores llamado con todos los adjetivos “habidos y por haber”, desde incompetente hasta pajero, así de linda es nuestra política, la apolillada política peruana. Bueno, para resumir esto, el ex premier tuvo que dejar el puesto y escapar “entre gallos y medianoche”  debido a un eventual Complot contra Víctor Andrés García Belaunde por parte de su ex hombre de confianza; así fue como dejo con más pena que gloria  la presidencia del consejo de ministros, pobre ….. su nombre y honra están quemados (como casi todos los ex – premiers).

Tan sólo un par de semanas después, cuando el señor Cornejo debería estar descansando en su casa de campo y olvidándose de ese trago amargo por el que pasó, le revienta en la cara que alguien ha violado su privacidad y ha publicado sus correos electrónicos, tres mil (3000) correos electrónicos vulnerados en donde no se distingue de correos personales y correos de trabajo, adiós privacidad.  Correos electrónicos donde deben haber contraseñas de acceso, planes de gobierno, datos familiares, seguridad de estado, es decir, todo lo secreto del Perú expuesto para todo los amigos y no tan amigos de Perú.

 

Martes 05 de Agosto

El Martes 05 de Agosto, que más debió ser el Martes 13 para Cornejo, Lulz Security Perú y Anonymous Perú publicaron que tenían en sus manos los correos electrónicos del ex premier René Cornejo pertenecientes a su cuenta de Gmail.

 

image

 

image

 

image

 

Algunos detalles importantes

 

A. Correo Personal

Se indica que el correo hackeado es rcornejopcm@gmail.com, es decir, un correo de índole personal donde debería haber seguramente no sólo correos de índole político sino correos relacionados a su familia, asuntos personales, cuestiones amorosas, cuentas financieras, proyectos, en fin….. todo lo que se puede manejar en un correo electrónico de Gmail, sólo piensen un poco en lo que ustedes tienen en sus correos electrónicos, pues eso mismo debe tener el Sr. Cornejo en su cuenta de Gmail, que miedo, no?? En referencia a lo de “viejo pajero” sólo puedo….. reírme jajaja, de pronto alguno de los hackers lo ha visto haciéndose una paja para asegurarlo. Hasta la fecha, 07 de Agosto, los links de Mega siguen disponibles.

 

B. Correo de la Presidencia del Consejo de Ministros

Sin duda alguna, Anonymous y Lulz Sec deben de justificar – o justificarse a si mismos -  la intrusión a un correo personal, la única manera de justificar semejante acto es diciendo que lo hacen para ventilar todos los “anticuchos” (actos de corrupción para los no peruanos) que se realizaron durante el periodo que Cornejo fue Premier, que lo hacen por el bien del Perú, que no son delincuentes, que son héroes anónimos, al mejor estilo de Robin Hood y el superyó desarrollado por Freud. Bueno, un día después de publicar la noticia, Lulz Security Perú, decide publicar abiertamente el contenido de uno se los 3000 mil y picos correos en su cuenta de Twitter,

 

image

 

Sin embargo, al hacer zoom sobre la imagen publicado por Lulz Sec, se ve como destinatario el correo de la PCM (Presidencia del Consejo de Ministros), un momento…. no que era el correo Gmail de Cornejo? a menos claro, que el se haya reenviado los correos de la PCM a su cuenta de Gmail, no? de pronto pare tenerlos como backup el día que salga del puesto de Premier.  Sería interesante analizar los headers del correo electrónico pero eso implicaría descargar los correos publicados por estos hacktivistas, abrirlos, leerlos, admitir que se han descargado y admitir que se han sido leídos y finalmente publicar información del correo (las cabeceras), ciertamente no creo que este cerca de la legalidad.

 

1

 

C. Clases de derecho vía Twitter

Erick Iriarte es sin duda el abogado con más actividad en el Perú en lo que se refiere a derecho informático, siempre está publicando información en sus cuentas de redes sociales, publica tanto que dudo mucho que sea él mismo el que publica, debe tener un administrador de la cuenta o algo así, sino es así definitivamente debe vivir casi las 24 horas del día prendido de un celular o una computadora. Erick sin duda se ha ganado el respeto de muchas personas, dentro de las que me incluyo, y aunque no siempre comparto su opinión en temas políticos sobre temas legales sólo debemos aprender de él lo más que se pueda. Aquí algunos tweets publicados por Erick en relación al caso Cornejo:

 

image

 

image

 

Pongan atención a los recuadros de color rojo resaltados en la imagen superior, en resumen no es delito descargar el correo electrónico pero si es delito publicarlos mediante algún medio y siendo súper estrictos, publicar las cabeceras de un correo ya hasta podría considerarse algo ilegal, es mejor no hacerlo.

 

D. Ya se animaron a publicarlos en los medios

Bajo el criterio explicado por Erick Iriarte de “interés público” los medios prensa vienen exponiendo parte del contenido de los correos, supongo que se están matando leyendo los 3000 correos para revisar si hay algo que pudiera ser de interés para publicarlo, si publican algo que no fuera de interés se supone que estarían realizando un delito flagrante. Hasta ahora el caso del que más se habla es del correo enviado por Cecilia Blume, mírenlo aquí (publicado por OjoPúblico):

 

image

 

image image

 

E. ¿Cómo hicieron para hackear el correo de Gmail de Cornejo?

Señores, si alguien les dice con total seguridad como lo hicieron definitivamente es porque tienen una bola de cristal o consultan a un chuman (o ellos lo hicieron), sólo se pueden hacer suposiciones y ninguna puede ser afirmada. Iniciemos:

  • Contraseña de Gmail muy simple o de fácil suposición, quizás el nombre de un familiar directo, mascota, fechas importantes o contraseñas secuenciales para diferentes servicios (por ejemplo: passwordgmail, passwordtwitter, passwordfacebook, es decir, que sólo agreguen el nombre del servicio al final de una única contraseña).
  • Y si su cuenta de Gmail tiene doble factor de autenticación con su celular? de pronto el celular fue declarado de baja y los hackers aperturaron otro celular con el mismo número. Eso es muy común de hacer hoy en día, así ya tenían la clave y también el celular a donde le enviarían el código de verificación. Toca preguntarle a Cornejo esto, nos lo dirá ¿¿¿????
  • De pronto tuvieron acceso a un disco duro olvidado o de pronto a uno que dieron de baja hace poco y recuperaron el archivo de correo electrónico. Tengan en cuenta que se publicaron archivos con extensión EML y no creo que el hacker se haya tomado la molestia de entrar por la web y pasar correo por correo para descargarlos en ese formato, es muy probable que se haya manipulado un cliente de correo de electrónico como Outlook o Thunderbird
  • El soporte técnico de la PCM este involucrado y haya soltado datos a la gente de Anonymous o Lulz Sec. Ya saben: cuentas de administrador y esas cosas.
  • De pronto la contraseña de correo electrónico de Gmail viajaba en texto claro, he visto malas configuraciones de cuentas de Gmail cuando se utiliza un cliente de correo. Hacking rápido.
  • ¿Algún malware instalado en la computadora del ex-premier? Puede ser pero si fuera este el caso seguramente hubieran descargado no sólo correos sino otros documentos. Además si tuvieron tiempo para descargar tantos correos (me refiero al tamaño en conjunto de todos los archivos) seguramente hubieran descargado y publicado otros documentos encontrados.

 

2. Caso Castañeda

Y ya para terminar, antes del caso Cornejo, tuvimos el caso Castañeda. Castañeda es un político de la vieja escuela, un “viejo zorro” como diría mi mamá. Este señor no es santo de mi devoción y yo no votaría por él jamás. Este señor también fue víctima de los hackers, no directamente él pero sino a su Teniente Alcaldesa – Patricia Juárez – aunque la noticia no fue publicada directamente por Anonymous Perú sino por un señor Luis Yáñez parece que estuviera involucrado Anonymous Perú.

 

image

 

Existen más casos como los del ministerio del interior: Walter Albán y Wilfredo Pedraza, los casos de los PetroAudios, casos de músicos hackeados como GianMarco, etc etc., sin embargo vamos a dejar el recuento aquí nada más.

 

Cuestiones Finales

Voy a dar algunas de mis apreciaciones sobre los casos expuestos arriba, son opiniones y estando en un país libre pueden estar de acuerdo o en desacuerdo, aquí (al menos en este blog) todas las opiniones son respetadas siempre que no se hagan con el hígado en la mano y se respete a las personas:

 

1. ¿Por luchar por los derechos y libertades se deben violar los derechos y libertades de otros? En mi opinión NO. Concuerdo con Erick Iriarte.

2. Las acciones realizadas arriba son DELITOS y todo delito es realizado por DELINCUENTES. Por consecuencia las personas que realizaron esto pueden ir a la cárcel y cuando eso ocurra veremos los rostros de esas personas suplicando no ir detenidos, siempre pasa lo mismo.

3. Hay “personas” que se alegran cada vez que hackean a una persona pública (políticos, actores, etc.) o instituciones del estado. Realmente no los entiendo y menos cuando esas muestras de felicidad vienen de personas que pregonan a los cuatro vientos ser “contrahackers”, ya basta de hacer marketing y buscar contrataciones a través de ese mecanismo retrógrado e infantil, es como cuando un niño acusa a otro niño en el colegio por no haber hecho su tarea, brillen por luz propia no por la de otros.

4. ¿Ustedes aplauden a un delincuente en la calle? ¿Por qué lo harían en las redes sociales? La doble moral ¿dónde?.

5. Hay otros que reniegan de la compra de soluciones de seguridad. El problema no son las soluciones, las soluciones funcionan bien en la mayoría de los casos, el problema es cuando estos no se configuran y gestionan adecuadamente o peor aun cuando se dejan instalados con sus opciones por defecto y nunca más se vuelven a tocar. Si escuchan decir a alguien que un firewall, IPS/IDS, proxy, WAF, DBF, etc. no sirve, mejor ignórenlo y piensen: “aquí falta gestión de Seguridad”.

6. Todo se puede resumir en un adecuado “Plan de Seguridad de Información” por parte del estado, un plan que debe ser debidamente gestionado y que va más allá de sólo lo informático (claro que incluye seguridad informática pero es más grande que eso)  y que esperemos algún día el Perú lo pueda implementar, hasta entonces cuando veas noticias de “hacking” y lo compartas o hagas RT, hazlo con el fin de generar conciencia y mejorar la seguridad.

 

***************************************************************

Popularity: 7% [?]

Desde mi abuelita – a quien extraño mucho – hasta mi señora madre, una frase parece haber pasado de generación en generación: “dime con quien andas…. y te diré quien eres”, menuda frase que utilizaban para que no me juntase con chicos de mi edad a quienes mi madre consideraba unos vagos, unos cochinos, unos ociosos, unos piojosos y en general, para todo aquel que podría ser una mala influencia en mi formación., como si la ociosidad y la vagancia fueran un virus el cual se transmite al correr y jugar futbol desenfrenadamente.

Tenía muchas opciones para el nombre de este post, los candidatos fueron: “Pierde tu disco duro y de diré quien eres”, “Wilson, paraíso de información olvidada” y “Dame tu disco duro y te diré quien eres”, obviamente ganó este último. El objetivo de  este Post es mostrar como a través de técnicas forenses vamos a recuperar toda la información posible de un disco duro “olvidado” en el centro Comercial Wilson para armar el perfil del anterior dueño del disco duro, la idea es poder armar un perfil que contenga sus datos principales (nombre, fecha de nacimiento, DNI, dirección, teléfono), profesión, gustos personales, contraseñas, etc.  ¿ Podremos? Aquí vamos una vez mas.

Cuestiones previas:

Si alguna vez has pasado por alguna de estas situaciones, este Post es para ti:

  • Alguna vez te robaron la laptop y tu disco duro no estaba cifrado, tu disco duro debe haber terminado siendo vendido a un extraño. Este Post es para ti.
  • Alguna vez vendiste tu laptop y creíste que formateando o borrando la información de tu disco protegías tu intimidad. Este Post es para ti.
  • Si trabajas en una empresa (privado o del estado)  y suelen dan de baja los computadores cuando se malogran o dejan de funcionar. Oh sí,este Post va dedicado para ti en especial.

 

1. Conseguir el disco duro

Primero toca conseguir un disco duro utilizado en el Centro Comercial Wilson, esta vez si fui al local pionero, al primerizo de los edificios, baje al sótano donde abundan dispositivos de “segunda mano” y fui cotizando un disco duro que me sirviera para este post. Así fue como adquirí un disco duro SATA, de 320GB y para laptop; obviamente lo que buscaba era que el disco duro haya sido antes utilizado y que pueda contener información para ser recuperada.

Compré el disco duro y hasta me dieron 03 meses de garantía, que felicidad!!

1

 

2. Analizando las técnicas de Recuperación de  Información

Un poco de teoría:

Siempre es bueno un poco de teoría para no aprender como funcionan por dentro las cosas, la técnica que vamos a utilizar para recuperar información es conocida como en el mundo forense como  “file carving” que no es lo mismo que “file recovery”, aunque lo que vamos a realizar es recuperar información del disco duro y pareciera que ambos términos son lo mismo ya que el objetivo de ambas es recuperar archivos del disco duro, en realidad son técnicas distintas. ¿Aún no entiendes en que se diferencian? Ok, vamos a explicarlo un poco mejor.

  • File Recovery

La técnica de “file recovery” es utilizada para recuperar información y esta técnica usa el sistema de archivos (NTFS, FAT, EXT3, EXT4, etc.) después de que se ha borrado un documento, dicho de otra manera está técnica es utilizada para recuperar información eliminada del sistema de archivos de un disco duro. Por ejemplo, si tienen instalado “Windows 7” y borran un documento de office, un Word o un Excel, mediante técnicas de “file recovery” existen muchas probabilidades de recuperar el archivo.

  • File Carving

Esta otra técnica, “file carving”, es distinta a la primera explicada. Esta segunda técnica no utiliza el sistema de archivos para recuperar información. Voy a explicar un poco más, cuando contamos con un sistema de archivos (FAT por ejemplo) y borramos un documento, lo que hace el sistema de archivos es modificar el primer caracter del nombre del archivo para ser marcado como un espacio no asignado o también conocido como “unallocated”, eso le indica al sistema operativo que ese espacio puede ser asignado para otro documento de ser necesario por el sistema operativo pero el documento no se ha borrado, sólo ha sido marcado como “unallocated”. Entonces, “file carving” lo que hace es buscar la estructura interna de un documento para poder ubicarlo y recuperarlo.

Vamos a colocar como ejemplo un archivo PDF, toca abrirlo con un editor HEXADECIMAL (en mi caso con Notepad++ y un plugin):

Los archivos con formato PDF siempre comienzan con el “header” : 25 50 44 46 2d 31 2e, como se muestra en la primera imagen inferior y siempre termina con el “footer”: 0a 25 45 4f 46 0d 0a, como se muestra en la segunda imagen inferior. La técnica “file carving” lo que hace es buscar los header y footer (sin importar el sistema de archivos) para recuperar documentos.

image

 

image

 

¿Qué técnica utilizar para este análisis?

Dicho esto y habiendo explicado algo de teoría, toca analizar cual es de las dos técnicas vamos a utilizar. Cuando compré el disco duro el vendedor me aclaró muy enfáticamente: “el disco está formateado, antes tenía Windows 7 y ahora tiene Windows XP, está limpiecito”. Eso quiere decir que han intentando borrar toda la información para vender el disco duro, en este caso no nos interesa el actual sistema de archivos necesitamos buscar la información que se ha intentado borrar al formatear el disco duro, es decir, tenemos que utilizar “File Carving”.

3. Recuperando Información Personal

Ahora sí, vamos a proceder con lo más divertido: recuperar información e iniciaremos a armar el perfil del anterior dueño del disco duro, sin mucho más floro iniciemos!!!. Vamos a utilizar una herramienta free que realiza “file carving”, utilizaremos FOREMOST. Son 320GB de tamaño que cuenta el disco duro y este proceso demora regular tiempo, si alguien va a realizar algún ejercicio similar, tengan paciencia, dejen corriendo la herramienta, vayan al cine, almuercen, duerman y luego revisan el resultado. También he utilizado SCALPEL, que es otra herramienta para hacer “file carving” pero que puede encontrar otros formatos como registros, archivos PST u OST y entre otros.

image

Recuperando Fotos, Correos, Documentos Office

Lo primero que busqué dentro del disco duro fueron imágenes, es evidente que no buscaba cualquier imagen, busco fotos personales del anónimo dueño anterior. Iniciemos:

  • Identificación del anterior dueñoEncontré muchas fotos personales en el disco duro pero la mayoría de una persona, por lo que podíamos presumir que el disco era de esa persona. En las fotos aparece con una menor de edad que al parecer es su hija, cubro las imágenes para no atentar contra las personas identificadas. Ya tenemos el rostro de nuestro anterior dueño.

    2

    Además, todo indica que estudió administración o ciencias contables en la Universidad del Callao (UNAC), por cosas del destino, la misma universidad de la que soy ex-alumno.

    363123154

  • Nombre la empresa, cargo y lugar donde trabajabaLo primero que identifiqué en las imágenes recuperadas es que había demasiadas con logos de establecimientos de “comida rápida” y escarbando un poco encontramos documentos de pagos, aquí identifiqué el nombre exacto de la empresa, es una empresa de comida rápida que en realidad gestiona cuatro (04) establecimientos de comida rápida, para efectos prácticos la llamaremos: Comida Rápida S.A, además encontramos el nombre del Gerente de Turno, encontré el mismo nombre en muchos más documentos, hasta el momento parece que este fuera el anterior dueño del disco duro.

    15

  • Facebook del dueñoHasta ahora, todo lo identificado son conjeturas porque no tenemos nada que lo verifique por completo, pero ya teníamos un nombre y la empresa donde trabaja (o quizás a trabajado porque ya renunció o consiguió un mejor empleo) así que sólo toca realizar una búsqueda en la red social más usada en el Perú – Facebook -  y con algo de suerte encontraríamos información que confirmara nuestras sospechas. Obviamente tengo que tapar el rostro pero en la parte lateral izquierda se puede ver que es Gerente de Turno de Comida Rápida S.A y que además ha estudiado Administración. Listo lo tenemos confirmado!!

    image
    Ingreso mensual del anterior dueño

    No me sorprendió encontrar que les paguen en este Banco, ¿entiende el motivo, verdad?  (algunos seguro que si entenderán)  al parecer no gana mucho dinero nuestro ex dueño de la laptop, lo digo porque en Julio en Perú se recibe el doble del sueldo gracias a las Fiestas Patrias peruanas.

    8

  • Gustos pornográficosSi señores, no se hagan los que nunca han visto pornografía, se identificó los archivos temporales que se descargan de manera automática  en los navegadores cuando se visitan páginas web. Al parecer el anterior dueño tenía gustos algo especiales en cuanto a pornografía, podríamos definirlo como: Porno Amateur y Asiático, sobre todo todo amateur. Se pudo identificar que visita páginas como: www.xvideos.com, manoardiente.blogspot.com, zorras.pe, pornocaleta.com, pornoencolombia.co, culosgratis.com.ve, odiosas.com.mx, entre otras. Parece que la página web “manoardiente” le cae muy bien de apodo.

    4

4. Recuperando información corporativa

Como suele pasar en muchos casos, a los empleados  de una organización se les entrega una laptop, de hecho es muy común que sea así, los computadores en forma de torre están en vía de extinción.  Este parece ser un ejemplo de este caso, aunque no puedo llegar a la conclusión si la laptop era la empresa y el empleado la configuró con información personal o viceversa, es decir, si la laptop era de una persona y lo llenó, configuró e inundó con información empresarial. Sospecho que la laptop era de la empresa porque he encontrado información muy sensible, correos electrónicos, informes, reportes, manuales de uso de sistemas y hasta planes corporativos, no creo que alguien use su laptop personal y le agregue tanta información de la empresa, no? aunque también existen muchos “workaholic” por las calles limeñas.

  • Suciedad durante la preparación de alimentos (seguirán comiendo esto ¿¿¿????)Al parecer, como gerente o administrador de tienda una de las labores es reportar los errores y oportunidades de mejora del local, sin embargo parece  que nunca advirtieron que esas malas imágenes deberían queda en casa, ya sabe…. “los trapitos sucios se lavan en casa”, sin embargo los dejaron abandonados en un disco duro que no fue protegido y aquí están, al mejor estilo de los noticieros gringos.

    279164476

    246157388

     

  • Correos electrónicos corporativos 

    Encontré muchas cosas asociadas a un correo: encontré correos electrónicos enviados, correos recibidos y una lista de correos electrónicos de la empresa en mención.En total encontré 57 correos electrónicos corporativos, aquí una muestra:image

    Correos electrónicos conteniendo información sensible, ¿que tan sensible? pues contraseñas de acceso, parece que en esta empresa también utilizan un patrón de contraseñas de acceso, alabado sean los “patrones de acceso”.

    image

  • Manuales de usuario y contraseñas por defecto 

    No todo lo recuperado son imágenes, se han recuperado archivos PDF, archivos EXCEL y archivos Word, analizar la información que contienen estos documentos toma mucho tiempo y es súper tedioso, de hecho es un trabajo de hormiga. Me pasado todo un domingo revisando la información que estos archivos contienen, si señores no se imaginan lo divertido y excitante que es pasar un domingo abriendo y cerrando archivos PDF.image

    image
    Se imaginan, conseguir un punto de red alámbrico o mejor todavía conseguir una señal wireless para obtener acceso, sabiendo que sistemas usan y que usuario/contraseña por defecto tienen los sistemas, es muy pero muy probable tener acceso a los sistemas de información.

  • Planes corporativos y otros documentos importantes 

    Poder resumir todo lo encontrado es imposible en un sólo POST es imposible, lo encontrado mediante “file carving”  son: cartas de renuncia, documentos de liquidaciones, contratos, hojas de vida, documentos de identidad (DNI) , planes de marketing, informes, reportes, recetas secretas, etc. Aquí sólo una muestra:image

    image

    image

     

  • Imágenes de cámaras de seguridad y seguridad de TISe pudo identificar imágenes de las cámaras de seguridad de los almacenes de la empresa, parece que están bien vigilados.

    110850436 110850463
    110850601 110851022

    En una auditoría de seguridad TI muy seguramente salen reprobados, ya me imagino lo que mi amigo Stanley Velando (auditor) pondría en su informe, realmente hay un desorden alucinante en cuando al cableado. Además pude identificar que los dispositivos que utilizan son en su mayoría DLINK, un dato adicional para buscar vulnerabilidades.

105460433

105460610

  • Metadata de la información recuperadaDe las fotos recuperadas y que son de índole personal, procedí a revisar la metadata de las imágenes con el objetivo de identificar que tipo de cámara utiliza el anterior dueño del disco duro, al parecer utiliza aun un BlackBerry. Pueden analizar la metadata con LA FOCA. Sinceramente escribir este post ya me ha dejado agotado, así que dejaré para la próxima analizar la metadata de archivos word, excel, etc.

    image

5. Conclusiones

Al final podemos concluir lo siguiente y a manera de resumen lo mostraremos en una tabla:

image

Se imaginan lo que se podría hacer con esta información, alguien con malas intenciones podrían:

  • Extorsionar al ex dueño de la información, tiene datos muy confidenciales con los que podrían atemorizarlo.
  • Un hacker podría acceder a mucha información ya que se han encontrado usuarios, contraseñas, manuales, etc.
  • Espionaje industrial, se imaginan lo que podría hacer la “cochina” competencia con toda esta información, todo es dinero en el espionaje industrial.
  • El centro comercial Wilson es una riqueza de información gratuita, imaginen que pasaría si los discos duros de ministerios, el congreso, bancos, seguros, etc. caen en malas manos.

6. Contramedidas y técnicas de seguridad

Finalmente, voy a indicar como hacer para prevenir que exista fuga de información cada vez que desechamos, vendemos o damos de baja un disco duro. Estas son las situaciones más comunes en las que podríamos aplicar las siguientes recomendaciones:

  • Cuando vamos a cambiar de computador, cuando en una empresa van a cambiarte de computador por uno mejor.
  • Cuando vamos a vender nuestra vieja laptop para comprar una nueva.
  • Cuando en una empresa van a dar de baja un computador para reemplazarlo por una nueva.

Cuando alguna de estas situaciones se presente toca realizar un borrado seguro de información, el objetivo del borrado seguro es que la información del disco duro no pueda ser recuperada mediante técnicas de “file carving”, para eso existen diversas herramientas, aquí detallo algunos: ERASER, Disk Wipe y Active KillDisk. Voy a utilizar Disk Wipe para borrar la información, se pueden escoger diversos mecanismos de borrado, entre más pasadas para sobrescribir la información más lento será el proceso. Yo recomiendo 03 pasadas con alguno de los algoritmos remarcados en la imagen inferior, mi disco de 320 GB demoró aproximadamente 04 horas.

 

image

Popularity: 7% [?]

Cuando tenía 16 años, cuando estaba por terminar el último año de colegio y cuando algunos de mis compañeros de aula lloraban ridículamente en medio de un mar de abrazos de despedida causados por el tan -  pero tan – esperado y épico viaje de promoción, a mi me dolía la cabeza. Siempre creí que tales escenas causaban nauseas en mi, desencadenando un pequeño, continuo y desesperante dolor de cabeza, no paso mucho tiempo para darme cuenta que el verdadero origen era otro, uno que me perseguiría por el resto de mi vida, triglicéridos.

Si señores, triglicéridos, y es que en ese momento a parte de no saber que carajos era eso,  no pude advertir lo jodido que sería llevar esa bendita enfermedad por el resto de mi vida. La verdad, he aprendido a cargar con los triglicéridos, tuve que darle una temprana despedida a las hamburguesas, papas fritas, pollo a la brasa y demás comida grasienta y rica de la  monumental gastronomía peruana, supongo que debe ser algún castigo de los dioses nacer en el país que se dice tener la comida más sabrosa del mundo y no poder disfrutarla en su totalidad.

Nunca se me hubiera ocurrido confesar mi dolencia en el blog, jamás!!! porque va en contra de lo que siempre predico, ya saben …. entre menos sepan de uno es mejor, les estás dando menos armas a todos aquellos que se la pasan jodiendo y pegándosela de valientes detrás de un blog, a todos esos estafadores que gastan su tiempo llamando a mi casa con menos ideas en cada intento (ya inventen otra cosa a parte de que estoy en arrestado en una comisaría por favor) y en general a todo aquel retrasado con problemas y complejos de inferioridad que está dispuesto a joder y a vociferar sus traumas en contra de otros por internet.

He decidido confesar mi enfermedad no porque haya renunciado a mi ideal de seguridad de información, sino porque lo que creí  hasta hace poco una enfermedad conocida sólo por mis padres, familiares y amigos muy cercanos es en realidad de conocimiento de todo el Perú, de los 30 millones de habitantes peruanos, de los casi 15 millones de ecuatorianos, de los 17.5 millones de chilenos, 47.2 millones de colombianos y de los 1,351 miles de millones de chinos que muy probablemente – y para suerte mía – no entienden ni una pisca de español.

Si señores con mucho pesar debo decirles que mis datos, nuestros datos, vuestros datos de análisis clínicos lo puede ver “cualquier hijo de vecino” sin tener mucho -  o casi nada – conocimiento informático.

¿Las vulnerabilidades?

1. El muy “difícil” formulario de ingreso

*************************************************************************************************************
- Haga puño su mano por favor -  dijo la enfermera
- ¿No me va doler, verdad? – dijo el chico temeroso
- Listo, ya terminé, sus resultados estarán en Internet por la tarde. Ingrese a esta página web, su usuario es la primera letra de su nombre más su primer apellido.
- ¿Y la contraseña? – pregunté ansioso, esperando un error escandaloso, un error que me permita escribir un post y me generará una mueca de felicidad.
- La contraseña es simple, coloque su número de DNI y ya está.

*************************************************************************************************************

Así terminó la corta, escueta pero fructífera conversación con la enfermera. Es como sacarse la “Tinka” (lotería peruana que nunca ganaré por simple estadística), que te faciliten la contraseña de todos los usuarios del sistema en tan sólo 02 minutos de conversación. ¿Se dieron cuenta del error, verdad? Si no se dieron cuenta aquí lo explico:

A. ¿Ustedes creen que los usuarios cambian las contraseñas por defecto? Mentira, las personas no lo cambian y menos de sistemas que utilizan sólo una (01) o dos (02) veces al año. La gente es perezosa, tiene tiempo para escribir en Twitter todo el puto día pero no tienen tiempo para buscar el enlace de cambio de contraseña.

B. Tenemos un perfecto patrón de contraseñas, el usuario de acceso es SIEMPRE la primera letra del nombre del cliente sumado a su apellido paterno. No se hagan los santos ahora, acaso no es lo primero que ustedes prueban cuando hacen auditorías y análisis de vulnerabilidades, los patrones más comunes a probar son:

- Nombre de la empresa + año actual. Por ejemplo: Empresa2014.
- Nombre de la empresa + 01. Por ejemplo: Empresa01, a veces también se suele probar: Empresa02
- Nombre de usuario + año actual. Por ejemplo: Opalomino2014.
- Y obviamente están las contraseñas más estúpidas de todos los tiempos: [AQUÍ]

C. ¿De dónde sacamos el nombre y los números de DNI?

Se me ocurren muchos pero muchos lugares donde encontrar números de DNI con sus respectivas personas, voy a colocar sólo dos (02) sitios donde encontrarlos:

Nuestra querida red social: Facebook

Facebook es la versión moderna de la caja de Pandora, entrar a Facebook por la mañanas al despertar es encontrarse con un mundo de sorpresas: relaciones que inician, relaciones que terminan, relaciones que habían terminado y que vuelven a iniciar por décima vez, uno se encuentra con despechados, despechadas, con psicólogos frustrados, con acomplejados que reniegan porque pierden licitaciones, gente que no puede contener sus sentimientos, uno más estúpido que el anterior. Gracias Facebook, eres una fuente inagotable de entretenimiento.

Y claro, en Facebook también podemos encontrar números de DNI con sus respectivos nombres, allí están, listos para ser secuestrados por todo aquel que esté mediamente atento. Si no me creen… miren:

image image

El concurso de una camiseta colombiana presentada por “Jimmy Santi” a través de un programa deportivo y miles de peruanos hambrientos de mundial colocando todos sus datos en Internet. Yo se, yo se, Colombia ha hecho un espectacular mundial pero de allí a que los peruanos se aloquen por una camiseta extranjera me parece -  por decir lo menos – bochornoso y penoso.

Los datos los he cubierto con una barra de color negro pero están en la página de Facebook del programa televisivo, así como estos hay miles de concursos realizados por estos señores y por otros programas y siempre dejan todos los DNI expuestos al terminar el concurso.

En el centro comercial “Wilson”

Peruano que se respeta o al menos limeño que se respeta, ha caído en ese cementerio de computadores malogrados, computadores descuartizados, computadores que han sido rearmados tantas veces como un transformer, computadores utilizados (vendidos como nuevos)  y es que todo  aquel componente informático que busquemos será encontrado en el centro comercial Wilson.

image

Pero no sólo se venden computadores, todos saben que ese rinconcito antiguo y de arquitectura colonial también provee a cualquier – sí escuchaste bien a “cualquier” – transeúnte armado de 40 nuevos soles en su billetera todos los datos financieros, datos de identificación personal y de estado civil de todos los peruanos. Sólo es necesario ir con cara de despistado, preguntarle de manera sigilosa al morenaje que está parado como vigilante en la puerta de la casona, mostrarle con recelo el dinero, negociar el mejor estilo peruano y brindarle tu memoria USB para obtener los datos necesitados.

Hace como un año el amigo de un amigo estuvo por esos lares, no es que haya querido comprar algo de lo que venden, jamás!!! digamos que estuvo  haciendo algo de turismo extremo y le copiaron unos archivos, de hecho le copiaron unas carpetas a su memoria USB, todo por la módica suma descrita arriba. La imagen está distorsionada por obvias razones.

 

dnis

 

 

 

Lo alucinante de esto  es que todo ocurre a vista y paciencia de todos,  además, todos en el Perú sabe que esta información la comercializan sin ningún pudor y nadie hace nada, la ley contra delitos informáticos (Ley Beingolea) y la ley de protección de datos personales, ley 29733, son un saludo a la bandera. 

¿Y como exploto la vulnerabilidad?

De hecho, ya todos los que leen esto deben imaginárselo, cojan el IDE  que más les guste y desarrollen un script que coja los nombres, los números de DNI y utilícenlo como usuarios y contraseña. HTTPLib, URLib y CURL son buenas librerías a utilizar con python y php respectivamente. Allí lo voy a dejar. 

¿Soluciones?

De hecho hay varias y todas muy factibles de aplicar:

  • Generación de clave aleatoria para el primer ingreso. Nadie debería poder adivinar esta contraseña, deberían entregarte la contraseña en un sobre cerrado por ejemplo.
  • Forzar el cambio de contraseña tras el primer ingreso al sistema. (a mi  no me solicitó el cambio de contraseña).
  • Complejidad de contraseñas: caracteres alfanuméricos, por lo menos una mayúscula y por lo menos un caracter extraño.
  • Y, obviamente en la actualidad con todo el malware y mecanismos de hacking que existen, esto no basta pero créanme con eso ya estamos haciendo bastante.

 

2. Mala gestión de sesiones

Aquí no acaba todo, por si no fuera suficiente con todo lo explicado líneas arriba, me terminé yendo de narices al entrar al sistema y revisar mis resultados médicos, que por cierto esta vez tenían buenas nuevas para mí, es decir, los triglicéridos se habían ido a tomar un descanso y yo estaba muy bien. Encontré errores garrafales, me encontré en el terreno de lo incierto no sabía cuantos errores más podría encontrar, errores que bordeaban muy claramente la pelotudez y que hacen que todos los datos con información sensible sean vulnerables.

Iniciemos rápidamente, el análisis:

  • Cualquiera puede cambiar la contraseña de otro usuario

Obviamente lo primero que tocaba realizar después de encontrar ese fallo de seguridad era cambiar mi contraseña, ponerle una contraseña respetable, una contraseña tediosa, rimbombante y que contrastara con la primera ridícula contraseña entregada. Sin embargo me di cuenta que en la parte superior, la URL contenía un código de usuario, entonces supuse que ese era el código interno que me había generado el sistema, un código de cliente. Obviamente estoy tapando la URL (en la imagen inferior) y sólo dejo parte de mi código de usuario.

pass

 

Entonces, se me ocurrió editar la URL y colocar otro código de usuario, sólo seguir la secuencia, es decir, si mi código de usuario termina en 74095 que tal si prueba con un código que termine en 740976 o 74097 y ver que ocurre. Al parecer los desarrolladores  pensaron que utilizando un poco de JavaScript podían evitar que otra persona cambie las contraseñas de otro usuario, de hecho utilizaron el método OPEN del objeto WINDOW pero obviamente esto es fácilmente de bypassear.

 

pass2

Así que decidí cambiar el código de usuario y listo, sistema vulnerable. Resulta que cualquier usuario podría cambiar la contraseña de cualquier otro usuario.

pass4

 

  • Cualquiera puede ver mis exámenes médicos

Al final esto es lo más grave, el error descrito arriba se debe a una mala gestión de sesiones, es decir, al cambiar de página web no existe un pedacito de código de programación que valide si existe una sesión creada por cada usuario logueado en el sistema y que restrinja las opciones de acceso. Entonces, sólo tocaba verificar si los resultados de mi examen los podía ver cualquier usuario o peor aún cualquier persona SIN NECESIDAD de ingresar al sistema.

Abrí otro navegador, copié la URL de mi examen médico y lo pegue con ansias, lo correcto hubiera sido que me redirija a una página de ingreso de credenciales pero lamentablemente mi examen médico y mis triglicéridos son expuestos a cualquiera.

En conclusión, cualquier persona  – sin necesidad de tener un usuario en el sistema – puede ver los exámenes médicos de cualquier otro, dicho de otra manera, todos pueden ver de que enfermedades puede uno sufrir. Malaso!

examen2

 

¿Y , ¿cómo lo hago?

De hecho es demasiado simple, toca coger la URL que tiene una estructura como esta: “http://www.pagina.com/resultado.php?orden=2014000001”, copiarlo en cualquier browser y listo, tienes los resultados médicos sin requerir un usuario y contraseña. Para ver los resultados médicos de otra persona sólo toca ir modificando la serie, es decir, sería algo así: “?orden=2014000002” y luego “?orden=2014000003”, si se dan cuenta los primeros 04 dígitos corresponden al año y luego los siguientes al número de la orden (miren la imagen en la parte inferior) que es un número secuencial.

image

Descargar la página web de resultados con algún script es sumamente sencillo, de hecho aquí les dejo un script de como descargar páginas – en internet abunda información –, obviamente con el script que está en la parte inferior no van a poder descargar realizar ningún ataque, estaría loco si publico algo así.

 

 

Google Hacking

También me pregunte si el crawling de Google había visitado alguno de los sitios web, la imagen en la parte inferior evidencia que Google también conoce el resultado de algunos exámenes médicos, pero lo más grave de todo es que ahora si alguien que encuentra estas URL se dará cuenta que no hay una gestión de sesiones adecuada.

google

 

 

Ley de Protección de Datos Personales, 29733

Mi tesis de maestría es sobre la Ley de Protección de Datos Personales y en la empresa donde trabajo – Kunak Consulting – brindamos consultoría sobre la implementación y adecuación de las empresas a esta ley. La vulnerabilidad encontrada y descrita en este post está totalmente relacionada a este tema, así que toca explicar algunos detalles sobre la misma:

Fuentes:

  • Reglamento de Ley de Protección de Datos Personales: [AQUÍ]
  • Directiva de Seguridad de la Información dada por la Autoridad Nacional de Protección de Datos Personales: [AQUÍ]

Datos sensibles:

La ley indica como datos sensibles lo siguiente:

image

Categorización:

Además, los requisitos como las medidas de control varían dependiendo del tipo de la clasificación de los datos personales, la directiva de seguridad de información indica lo siguiente en este caso (ver imagen inferior) y la clasificación del tratamiento para estos datos personales caen perfectamente en COMPLEJO y CRÍTICO en algunos casos. Por ejemplo, cuando se habla de “en múltiples localizaciones” se hace referencia a la TRANSFERENCIA de información, tema tratado ampliamente en la ley y cuando se habla de “respaldada por una norma legal”, pues como sabrán es obligatorio por las empresas que los empleados de una organización sean sometidos a exámenes preventivos anuales y finalmente los datos sensibles, hacen referencia a información sobre la salud.

 

image

 

Datos finales:

  1. Como verán no se ha utilizado ninguna herramienta de búsqueda de vulnerabilidades, todo lo realizado fue a través de un browser y un teclado.
  2. Reporté el error a la empresa en cuestión (que no ha sido mencionada), indicándoles que como un cliente de ellos y que almacenan mis exámenes médicos tenían una grave vulnerabilidad, sin embargo, hasta la fecha no hay respuesta al correo enviado ni a la llamada telefónica realizada.
  3. Ojala identifiquen su vulnerabilidad porque me imagino que exponer triglicéridos como en mi caso no es tan grave pero estoy seguro que puede haber información extremadamente sensible.

 

********************

Me encontré con una canción muy buena hace poco, la comparto porque cuando se tiene triglicéridos pareciera que uno sólo quiere “Vacaciones permanentes”.

Popularity: 7% [?]

metroMientras entraba lentamente una vez más al Metropolitano de Lima durante aquella noche abarrotada de un mar de gente (o GENTES como dirían en México), un ansioso emprendimiento por escribir en mi blog me inundó, la falta de tiempo que siempre se apodera y devora mis ganas de escribir desaparecieron raudamente y atrevimiento inusual por escribir se apoderaron de mis dedos.

Tras un raudo ingreso al Metropolitano y  aplastado contra una de las puertas por una chica entradita en carnes, inicié una especie de monologo interior con mi conciencia, la misma que me reclamaba con incisivos apuntes el motivo por el cual no le dedicaba más tiempo a escribir en este mi querido y semi abandonado blog, no obstante, mi conciencia respondía con argucia ya que no estaba dispuesta a dejarse doblegar por el ímpetu que me embargaba de sobremanera en ese momento.

Mientras rebotaban decenas de ideas en mi cabeza, decidí realizar unas pequeñas cuentas (o hacer números como he escuchado por allí) sobre el tiempo que paso en el Metropolitano, veamos…. 2.5 horas diarias x 6 días semanales, me da un total de 15 horas semanales, ahora… 15 horas semanales x 48 semanas que tiene el año, eso suma un sustancioso … WTF!!! 720 horas anuales, eso quiere decir, que paso 90 días laborales en el Metropolitano, trabajo gratuitamente 03 meses en un ómnibus mugroso, repleto de gente y totalmente incomodo (y para rematar pesimamente diseñado por un ex alcalde sinvergüenza!!), que desperdicio de tiempo, se me va la vida – me dije a mi mismo.

Allí estaba yo, aún aplastado por la mofletuda chica, cuando de pronto miré mi celular y harto de revisar las últimas y calientitas novedades del Facebook, decidí encender clandestinamente algunas tools que tengo instaladas en mi aparato móvil para husmear y meter mis narices donde nadie me ha llamado,  ¿por qué? y ¿para qué? sólo para…. hacer algo más productivo que mirar el rostro anestesiado de una chica y para escribir algo más tarde en el blog acerca el poco nivel de conciencia en cuanto a seguridad de información que tienen las personas que se conectan a redes wireless muy lindamente OPEN;  algunos dirían que lo hago para joder, yo digo que lo hago para realizar un interesante estudio.

NADA DEL OTRO MUNDO…

Como ya estaba montado en el Metropolitano, decidí hacer algo de SNIFFING en la red para revisar el tráfico de aquellos incautos que se conectan a la red wireless OPEN que muy gentilmente ha decidido brindarnos el Metro de Lima, es decir, mientras el iba en el Metro y mientras este paraba en cada estación me puse a realizar algo se SESSION HIJACKING y capturar algunas cookies. Obviamente esto no tiene nada de especial y si alguien aun no tiene idea de como hacer esto manualmente sin una tool puedes revisar este POST donde realicé un videotutorial sobre este tema: AQUÍ

Como no todos los que estén leyendo este POST tengan idea de que cosa es el Metropolitano de Lima, pues son una serie de buses que se detienen a cada dos o tres cuadras no muy largas a recoger mas pasajeros y obviamente (lo que nos interesa) en cada parada cuenta con una Access Point marca CISCO que brinda internet FREE para los incautos… digo… para los eventuales pasajeros.

Aquí los resultados del SESSION HIJACKING realizado en el Metropolitano, en total obtuve 34 sesiones de Facebook vulnerables, todo esto aproximadamente en un recorrido de 50 minutos en el Metro en una hora punta del día (por eso me aplastaba la chica entradita en carnes).

image

 

image

 

image

 

Aquí les muestro un fragmento de la ruta que seguí en el Metropolitano y es que también me puse hacer algo de WARDRIVING, ahora pueden ver con más claridad donde es que se detenían para que suban más pasajeros, sólo que ya no se porque se detenían si el Metro ya estaba repleto.

ruta

CONCLUSIONES

  1. ¿Culpa del Metropolitano? Sinceramente no le veo responsabilidad, el Metro ofrece Internet gratis a las personas que usan el servicio, que quede claro que el servicio es el TRANSPORTE, el colocar internet es casi…. no se …. ¿cómo llamarlo? una monería (así dice mi Sra. madre). Aunque podrían emplear alguna técnica de mitigación de MITM en los AP Cisco, si han sido observadores los AP que adquirió el Metro son los CISCO AIRONET como la siguiente imagen, en teoría el fabricante dice que si provee protección…. pero… ver para creer!

    aironetcisco

  2. ¿A quién la echamos la culpa? Sinceramente sólo al nivel de conciencia y conocimiento que tienen las personas de usar aplicaciones mediante protocolos NO SEGUROS (HTTP) en vez de usar protocolos de envíos de información mas robustos (HTTP + SSL). También capture el tráfico con SHARK (como el Wireshark pero para Android), en la imagen muestro la cantidad de tráfico hacia los servidores de Facebook y que los mismos viajan en HTTP.

    image

    image

  3. Las sesiones capturadas fallecen cuando el usuario cierra sesión del Facebook, así que si capturé esto por la tarde de hoy…. es 99.9% probable que ninguna de las sesiones siga viva a las 2:27 am que estoy terminando de escribir este POST, la verdad (y para que no salte alguien con un comentario absurdo)… no entré a ninguna sesión de Facebook porque simplemente da mucha pereza, no era el objetivo de esta entrada y porque finalmente no me importa la vida del resto (ya tengo suficiente con la mía).

Saludos a todos espero que se hayan entretenido leyendo esto.

Popularity: 30% [?]