domingo, 30 de noviembre de 2014

Aceite Relámpago... A Auditar. Hidromático, Automático

Otra vez mis drogas juegan malas pasadas, y uno puede acabar de formas de las que nunca le gustaría verse. Pero entre que cuando Audito una Web me siento como un CazaVulnerabilidades y como en Grease a la hora de mejorar el coche Hidromático, Automático,etc

Figura 1: Aceite de Relámpago,...A auditar, Hidromático, Automático


Y claro, esto hace que cuando termina una de las charlas a las que asisto, me vista como John Travolta y me ponga a mover mi cucu de una forma totalmente arítmica, y como yo solamente sé hacerlo. Menudos momentos de drogas con amigos je je je.


Porque los Auditores Webs, somos verdaderos Johns Travoltas con nuestro gran ritmo y que solamente nosotros sabemos marcar, somos los dioses que reportan los fallos de los sistemas informáticos de empresas.

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 29 de noviembre de 2014

Al Malvado también le hackean

Está claro que en Internet no nos libramos nadie de que nos hacken y que podamos perder nuestras credenciales algún día, por eso antes de acostarme, siempre rezo porque mis identidades sigan "tranquilas" como hasta ahora, pero llegó el día en el que me hackearon y muy tontamente.

Figura 1: Al Malvado también le Hackean...Y muy tontamente

Y me tocó pagar todas las maldades  que he realizado, me han hackeado el passcode de mi teléfono móvil, y encima una persona bastante bastante cercana a mí, pero me lo reportó, de ahí mi "tranquilidad" al saber que había sido hackeado.

Sé que a los Passcode, le puedes hacer fuerza bruta-aunque no mucho tiempo, tienes unos intentos; pero los suficientes creo yo si conoces a la persona-. Pero lo importante es que han podido acceder a mi teléfono móvil dónde tengo mi calendario de cosas que hacer, mis notas, mis conversaciones dónde me dicen lo guapo y buenorro que estoy, mis fotos íntimas tomadas en el baño,cosas que todo el mundo tiene vamos. Y han tenido acceso a toda esa información, y hoy os voy a contar como.

Lo primero fue mi cordialmente, pedirme mi teléfono móvil; como la persona era de confianza se lo di...bloqueado, esa persona sabe que cambio la contraseña periódicamente, ya que el día que tengo en mi agenda para cambiar todas las contraseñas, le digo el passcode de mi móvil si es que nos vemos ese día, pero no le llega a servir porque ya está cambiado el passcode. Pero esta vez fue diferente, esta vez me dijo "voy a desbloquear el móvil...ah no que tú cambias la contraseña, bueno; seguro que lo consigo ya verás" entonces yo confiado le dije " son sólo 4 números, no es muy difícil adivinarlo, tú si piensas la sacas" pero para qué dije nada, esta persona me soltó lo siguiente después de esto "No creo que seas tan tonto de poner tu cumpleaños ¿no?" mi respuesta fue un no rotundo pero también le dije "No es ni mi cumpleaños, ni el tuyo, ni ninguno del de mi familia; pero es una fecha y un tanto especial" la respuesta de ella fue "¿Una fecha especial? Cuando fuiste a Madrid a dar la Charla" -Nope -Una fecha especial eh... a ver, a ver...*Perversa is working, Perversa is working* ¡Anda, lo he conseguido! mi cara fue de sorpresa total y no me lo podía creer, aunque la fecha si os lo preguntáis es el día que nos conocimos, ya sabéis para no tener que recordar fechas je je je.

La persona que me ha hackeado es cercana y le tengo bastante cariño, y desde que me lo reportó, aún más }XD y a esta persona la llamo "La Perversa" ya que si se junta con el Malvado otra cosa no debe ser, además es la única que consigue denegar el servicio de mi cabeza y hacer que me quede callado o mordiendo el labio...pero sólo a veces je je je. Pero ya dejando las bromas, también me hizo pensar que ¿Y si hay una fuga de información y por lo que sea alguien sabe el día que nos conocimos y si pierdo el móvil podría entrar en él si piensa un poco? Esto me dejó aún más con mi paranoia personal y en cuanto llegué a casa cambié el passcode. Gracias Perversa por el reporte }XD.

Hasta la Próxima Malvados, un HandShake amistoso...Cuidado con la fuga de información!

viernes, 28 de noviembre de 2014

SoftCrim cuenta ya con su Spot guaporro

Figura 1: SoftCrim ya tiene su Spot Guaporro


Esto es otra de las cosas con las que he estado trabajando últimamente junto a mi equipo de trabajo-bueno, parte de mi equipo-. Y es que veíamos necesario reflejar en un vídeo corto, a lo que nos vamos a dedicar en SoftCrim, cómo se puede participar y muchas cosas más.

Además estamos preparando muchas más novedades que esperamos anunciar pronto, pero de momento os dejo este Spot.



También debo decir, que estamos acabando el periodo de investigación de algunas de las ideas que hemos tenido a lo largo de este tiempo, no sabemos cuánto tiempo más podemos tardar en este tiempo de investigación, pero esperemos conseguir toda la información necesario para elaborar la que sería nuestra primera herramienta de Seguridad, algo de lo que tengo muchas ganas-pero las cosas se hacen bien hechas o no se hacen, primero lo primero-.

Todas estas ideas, las estamos apuntando en una lista a la que hemos llamado "Laboratorio de Ideas Guaporras" en la cuál tenemos ya bastantes ideas, pero será complicado elaborar todas esas ideas. Qué decir también que esas ideas son o bien que se nos han ocurrido, o que hemos pensado que se podrían mejorar algunas de las que ya existen y tratar de hacerlas mejor.

Nuestra mentalidad va a ser siempre darle facilidades al usuario y las herramientas que elaboremos, hacerlas que sean fáciles de usar para cualquier usuario al igual que trataremos que sean lo más seguras posible y que proteja parte de los eslabones a los que vamos a tener que "cuidar" para que sus vidas sean lo más seguras posibles".

Y esto era lo último que tenía que decir-por el momento,porque esperamos traer las novedades lo más pronto posible-. También hacer alusión a que vamos a seguir con las Auditorías y los Tets de Intrusión. Y ya por lo demás, tenéis toda la información en el Spot que hemos realizado. Si queréis participar ya sabéis.

Hasta la Próxima Malvados, un HandShake amistoso!

PD: Una cosa es igual a otra si "A"="A"; "A" NO ES IGUAL a "A'", dos bosques son iguales si lo tienen TODO EXACTAMENTE IGUAL AL OTRO, un simple cambio; y ya no es igual

jueves, 27 de noviembre de 2014

Whatsapp sufría y sigue sufriendo los robots

Figura 1: Whatsapp te dice quién es el último en comprar la aplicación

Esto es una de las cosas que e encontré hace un tiempo, pero viendo que no había escrito sobre ello en el Blog, he decidido contar este fallo que es bastante importante, y ya lo entenderéis porqué. Lo primero de todo, es que esto, creo que ya lo conocen los miembros de Whatsapp ya que tiene su tiempo esto, y el problema está en los robots.

Figura 2: Los robots de Whatsapp


Ahora es buscar esto y ver cuántos resultados nos muestran y si nos enseñan quién ha sido la última persona en comprar la aplicación-¿ya os imagináis como acaba la cosa no?.

Figura 3: En busca del último comprador

Y si pulsamos en uno de los enlaces, podemos ver algo como lo que os muestro en la siguiente captura.

Figura 4: El último comprador de Whatsapp


Esto es lo que te puedes encontrar, como imaginaréis es un gran problema, ya que cualquiera puede asociar ese número a su smartphone, tablet,etc. o llamar a altas horas...será por cosas que se puedan hacer.

Hasta la Próxima Malvados, un HandShake amistoso

miércoles, 26 de noviembre de 2014

¿Hackers o Criminales?

Figura 1: ¿Hackers o Criminales?

Sé que este post llega un poco tarde, pero es lo que tiene no mucho tiempo libre y tener que programar posts, pero yo quería tratar de decir a lo que de verdad nos dedicamos los Hackers. Porque se está degradando este oficio, y no es justo, porque NO SOMOS CRIMINALES. Pero da mucha pena, que lo hagan oficial en el Diccionario de la Real Academia Española.

Figura 2: Para la RAE somos piratas
Y esto es lo que somos para la gran RAE, piratas; pero... ¿Qué es un pirata informático para la RAE?

Figura 3:Nos definen como delincuentes
Por cosas como éstas, después hay miles y miles de artículos y noticias en las que dicen que los Hackers son criminales y usan su conocimiento para cosas ilegales y cometer actos delictivos. Pero no es así, y me entristece mucho que se piense así.

Figura 4: Muchas noticias...en la mayoría nos tratan de criminales

Y esto es lo que pasa, multitud de noticias e enciclopedias que tachan a los Hackers de criminales, y no es así. Ni tampoco lo que aparece en este "informativo".


Lo de este vídeo, son Hacktivistas, y no Hackers; es bastante diferente. Los que sí son de verdad criminales, son los que me piden que hackeé multitud cosas, esos son los verdaderos criminales, que están incitando a un delito, son los que tienen esas "brillantes ideas". Pero yo ya he pedido que cambien el significado, que no están haciendo un uso correcto uso de la palabra.

Figura 5: Mi petición de que cambiasen la definición

Y me apena y me entristece mucho ver que la gente va llamando Hackers a los que son criminales y viceversa. Y es que los Hackers no somos ni mucho menos criminales. Los Hackers solamente somos investigadores, que se van a encargar de encontrar los límites de la tecnología, hacer barrabasadas a un sistema y encontrar todos o casi todos los fallos de ese sistema para que se solucione y cuánto antes. Encontrar los límites y redactar un informe con todos los fallos y cómo podría solucionarse, eso es lo que hacemos los Hackers, algo parecido a los médicos, que encuentran las enfermedades y te hacen una receta, pues igual nosotros.

Este post venía a decir eso, a saber diferenciar entre los Hackers, que son todos buenos, y los ciber-criminales, que son los que roban fotos íntimas de personas, que espían a personas a través de la webcam y extorsionan a esas personas,etc. Por eso pido que tengáis un poco de espíritu crítico ante noticias o errores como estos.

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 25 de noviembre de 2014

Comprueba si pueden hacer Phishing fácilmente a tu empresa

Figura 1: Prueba si pueden hacer Phishing fácilmente en tu empresa


Ya conté como comprobé si la gente que tengo trabajando en SoftCrim caen fácilmente por ataques de Phishing. Y como dije, cayeron 24 de 27, y ya se han llevado una pequeña "bronca" por ello. Pero no quedo solamente en hacer un Phishing con Facebook, también hice un pequeño Phishing con Twitter, para ver varias cosas:

-Si la gente que tengo en SoftCrim podrían tropezar dos veces con la misa piedra el mismo día sin que les dijese nada

-Si reutilizaban el mismo usuario y contraseña para todas o casi todos los sitios de Internet-Cosa que pueden poner en riesgo a la empresa si cae un solo sitio de los que han reutilizado las credenciales-.

-Si toman las medidas de comprobar siempre todas las URLs que les vengan de Twitter, Facebook, Correo,etc vaya ser que sean peligrosas, de que comprueben el filtro SPF de correos que te puedan estar enviando grandes empresas y  unas cuantas más de medidas que yo les di.

-Si leen las URLs que han abierto-cuando en algún caso no deberían abrir-(Siempre que sea posible leer las URLs, ya que si usan sus dispositivos móviles no podrán hacerlo)

Todas éstas conclusiones son las que podría sacar yo con esta pequeña prueba en uno de los tests de intrusión que estaba realizando para SoftCrim. Obviamente no se me podía pasar realizar pruebas de Phishing. Por ello que dedicase un tiempo-poco para crear las páginas de Phishing de Twitter y Facebook, que las hice sin gastar dinero en un dominio más profesional, para que fuese más fácil que los empleados pudiesen detectar este Phishing...pero no fue así.

Lo primero fue elaborar una pequeña herramienta para spoofear las direcciones de correo de gmail, Facebook, Twitter y Apple-Herramienta que se va a quedar solamente para uso exclusivo de tests de Intrusión que vamos a elaborar en SoftCrim. Una vez que eso, simplemente era tomar las direcciones de correo de los empleados y enviar los mails, con el de Twitter, me lo mande a mí y pude tomar la captura del correo spoofeado, en Facebook sería igual.

Figura 2: Phishing de Twitter
 Como podéis observar, me quedó bastante bien este spoofing-para ello me lo he currado tantas y tantas horas-. Y también veréis que la dirección del correo es una que supuestamente es la de los Restablecimientos de contraseñas de Twitter, con lo único que se debía hacer para caer en la trampa era dar click donde pone "aquí".

Figura 3: Página de Phishing de Twitter
Y una vez que pulsabas aquí, te mandaba a esta página que es la que creé para hacer el Phishing en Twitter. Además como podréis ver en la dirección de la página, se nota bastante bien que no es el sitio de Twitter, pero aquí pueden ocurrir varias cosas:

-Que no se hayan parado a ver la URL, ya que al ver que se parecía al de Twitter, no se percataban del peligro de introducir sus credenciales.

-Que hayan visto la URL, pero que pensaran algo como "Anda ¿Han cambiado la URL de Twitter?" o "¡Que listos estos de Twitter, ponen URLs distintas al sitio de Restablecer tu contraseña, que al sitio para entrar de primeras, cómo le dan al coco estos tíos!"

-Que no hayan podido ver ninguna URL, porque se hayan conectado con su terminal móvil, debido a las Webviews.

Claro, que después cuando introducían sus contraseñas, me llegaban a un archivo txt llamado "PasswordsFace" y "PasswordsTwitter". Como en la Figura siguiente que es de la prueba que hice al introducir un usuario y contraseña cuaquiera.

Figura 4: Las credenciales enviadas a un txt


Y final del Phishing, tan simple como esto. Por último tengo que decir, que los únicos afectados de este ataque han sido los trabajadores de mi empresa, a los que les he comunicado en su día el ataque fue cosa mía, y que ya, han aprendido algo, han aprendido que no se pueden fiar de cualquier correo que les llegue y que deben leer muy muy bien la URL de cada sitio al que se conectan. Además el sitio era en HTTP, con lo que "cualquiera" podría efectuarle un Man In The Middle. Así que espero que esto os sirva de aprendizaje también a vosotros.

Hasta la Próxima Malvados, un HandShake amistoso!

lunes, 24 de noviembre de 2014

Infectar un PDF usando Metasploit

Figura 1: No abras este PDF

El mundo del PDF es muy peligroso, cualquiera puede infectar un archivo de este tipo-o de cualquiera- e infectarlo. La cosa es bastante sencillo, una de las opciones que más se suele usar, es infectarlo con Metasploit.

Figura 2: Infectando un PDF con Metasploit

Ya habéis visto, hay que tener cuidado con lo que te envían, ya no solo PDF; cualquier archivo, ya que cualquiera puede infectar cualquier cosita de manera muy sencilla. Cuidado, toma las medidas oportunas.

Hasta la Próxima Malvados, un HandShake amistoso!

domingo, 23 de noviembre de 2014

Ataque de Phishing con Facebook. Ten cuidado

En un test de intrusión, hay que tratar de atacar todos-o casi todos- los puntos por los que cualquier atacante pueda atacar, aunque si se atacan en zonas que un criminal no lo haría, porque todavía " no se conozca", mejor; un camino que, si los administradores siguen los consejos, estará algo más seguro, pero no al 100%. Por eso que en las empresas que nos piden que realicemos una Auditoría a su web, una de las muchas cosas que realizo y realizamos, son ataques de Phishing a todos o algunos de los trabajadores ya que esto es una parte importante y parece que cada vez más después de noticias como el hackeo de eBay, el robo de fotos a las famosas y muchas más y que día a día van saliendo más por Phishing.

Figura 1: El Phishing una parte importante en las Auditorías
Y viendo todo esto, no he podido evitar realizar esto dentro de SoftCrim, y a los trabajadores que me he encargado de ir trayendo. Y decidí probar este Phishing con Facebook, ya que si lo hacen en Facebook, lo harán en cualquiera red social, banco,etc.

Pues me puse manos a la obra y empecé a crear la página de Phishing de Facebook, no fue demasiado difícil, unos simples minutos y estaba creada y puesta en marcha para. Tampoco escatimé en gastarme un solo euro para un dominio más profesional y que fuese más sencillo de realizarlo. Pero aún así, los resultados me sorprendieron bastante.

Figura 2: Una página de Phishing de Facebook sencilla de detectar
Mira que era sencilla de detectar, pues aún así, se la colé doblada. Y la cosa fue tan sencilla como enviar el típico correo de "Hola, alguien ha intentado entrar en tu cuenta de Facebook, si o has sido tú, entra en este enlace y confirmalo". Pues de los 27 trabajadores que tengo a mi disposición, se lo envié a todos, y se comieron este Phishing 24. Voy a tener que echar una "bronca" a unos cuantos.

También es verdad, que gran parte de culpa la pueden tener las Webviews en tu smartphone y no te dejen ver ninguna URL en las aplicaciones de tu terminal, aunque no es excusa ni mucho menos. Así que ya sabéis, ha caído mucha gente con este dominio gratis, que también podría sacar la cartera y comprar uno que quede más profesional....que los hay, y así queda perfecto del todo, con lo que puede que caiga más gente.

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 22 de noviembre de 2014

Ataques Blind SQLinjection con Havij

Esto es una de las cosas con las que he estado últimamente. Y es que esto que voy a contar hoy, te resume bastante el trabajo, y estoy pensando en realizar una herramienta parecida para para las auditorías que realicemos desde SoftCrim. Pero vamos a materia, porque lo primero es hacer un Hacking con Buscadores, para encontrar sitios que puedan ser vulnerables a SQL Injection.

Figura 1: Currículums vulnerables en Google

Esto es uno de los ejemplos, y es que casi todos los .php son vulnerables a este tipo de ataques -SQLi-. Así que vamos a ver que nos podríamos encontrar.

Figura 2: Tabla de los usuarios con MD5

Lo primero que nos encontramos tras analizar una de las URLs que aparecerían con anterioridad, aparecen con con un MD5, pero si nos vamos a unas de las opciones que nos viene que se llama MD5 para ver cuáles serían los usuario y contraseñas que vengan de esta manera.

Figura 3: Usuario "reem"
Y vemos que nos sale que el usuario es un tal "reem", pero puede ser que este usuario sea uno cualquiera, y lo que nos interesa es el admin, que es con el que más cosas podémos hacer si obtenemos sus credenciales.

Figura 4: Reem es el admin
Pero si seguimos mirando, nos encontramos que nuestro "reem", es el admin, lo que hace más interesante aún que sigamos buscando a ver que nos sale.

Figura 5: Y las codiciadas contraseñas, también con MD5
Y como vemos, la contraseña también viene con un MD5, pero vamos a hacer el mismo truco de antes y nos deberá de aparecer la contraseña correcta para que el ataque salga perfecto.

Figura 6: Y la contraseña del administrador por fin
Y ya que hemos dado tendremos que probarla-yo no la he probado, ni la probaré-. La lógica nos dice que tendremos que probarla en ese mismo sitio web, pero mejor asegurarnos y que nos diga donde realizar podríamos probar esto.

Figura 7: Find Admin y prueba lo que has encontrado
Y aquí tenemos dónde podríamos probar todo lo que nos hemos encontrado-hay mucha más información, pero yo hoy os he contado solamente esto-. Come veis hay muchos sitios con el .php que podrían ser vulnerables a un SQLi y si encima te aparece el id=  pues más ganas que entran de probar-que uno no es de piedra-.

Estos ataques y todo lo que tiene que ver con SQL me gusta bastante, ya que unos de los lenguajes que me sé por ser uno de los primeros en aprenderlos, fueron esos mismos, y he estado mucho tiempo programando con ello. Y cuando descubres las vulnerabilidades SQLi, "pierdes" mucho tiempo buscando en cualquier .php?id= e introduciendo cosas como and 1=1,and 1=1,and (Select count (*) from usuario) ,and (Select(count(*))from users) [admins,etc.],and (select (count(id)) from usuario),and (select (count(usuario))from  usuario),and (select(count(contra)) from usuario,and (select(count(pass)) from usuario,and (select(lenght(user)) from usuario where id=1),and (select(lenght (user)) from usuario where id=1)>10,and (select(lenght(user)) from usuario where id=1)=11,and (selct(lenght(pass)) from usuruai where id=1)=6,and (select(substring(pass,1,1)) from usuario where id=1)='a' ,and (select(substring(user,1,1)) from usuario where id=1)='a',and (select(substring(user,2,1)) from usuario where id=1)0'b',and+0+union+select+1,2,3...., ;shutdown da...-espera que como esto rule, el problema es poco, no no, olvidad este último.

Hasta la Próxima Malvados, un HandShake amistosos

viernes, 21 de noviembre de 2014

¿Estás en Casa? Google y tu cámara de Seguridad dicen que sí

Esto es una de las últimas cosas que me he encontrado en estos días, y es que a través de Google, puedes encontrar las cámaras de Seguridad de muchos sitios, y como simple; A GOPLE DE QUERY, a golpe de búsqueda.

Figura 1: Más de 2000 resultados de cámaras de Seguridad en Google

Y ya es abrir cada uno de los resultados que nos salen, y nos encontraremos cosas como:

1) Cámara de Seguridad de una Casa

Figura 2: La cámara de Seguridad de una casa
2) Cámara de Seguridad de una Carretera

Figura 3: Cámara de Seguridad de una carretera
3) Cámara de Seguridad de una reserva de animales (observad la sombra)

Figura 4: Cámara de Seguridad de una Reserva de animales
Esto de que puedan ver tu cámara de seguridad, es algo que sabréis que es un verdadero problema. Y esto sin ninguna RAT, solamente con buscar en Google. Miedo++

Hasta la Próxima Malvados, un HandShake amistoso

jueves, 20 de noviembre de 2014

Hay un Bug en ti



Figura 1: Hay un Bug en Ti
*Has vuelto a reportarlo todo Malvado*

Haay un Bug en ti
Haaay un Bug en ti
Cuuando suuubas a Internet
y tal vez, Añores tu Privacidad
Lo que te reporto debes solucionar
Poorque hay un bug en ti
Siii hay un bug en ti
XSS habrá, muchos más duros que tú
CSRF puede seeer
tal vez
Mas nunca habrá un script alert...o la viagra
El tiempo pasará
Tú no lo soluuuciooonarássss
Lo vas a saber, es mejor saberrrrrrr
Que hay un Bug en ti
Porque hay un Bug en ti
Hay un Bug en ti

Me encantaba-y me sigue encantando- Toy Story, y ahora esta es la canción que suena en mi cabeza. Este post va dedicado a todas esas personas a las que les he reportado una vulnerabilidad y se han enfadado, por eso que haya un Bug en ellos.

Figura 1: Versión más chula de hay un amigo en mi

Hasta la Próxima Mavados...Que no haya Bugs en vosotros!

miércoles, 19 de noviembre de 2014

Tú eres el único que te espía. No te quejes

Figura 1: Tú eres el único que te espía. No te quejes


Ya he dicho que la Gente no quiere Privacidad en Internet, o que si la quiere, no se están enterando muy bien de qué va el tema y no están haciendo las cosas muy bien. Porque vale que mucha culpa la tenemos los que trabajamos en Seguridad por no dar más facilidades al usuario, pero si nos esforzamos en decir algo; que menos que hacer un poco de caso, que después la gente se va quejando sin motivo alguno.

Figura 2: Eres espiado por tus errores

Y es que cada foto que te tomas y que las subes a las redes sociales, no suele hacer falta extraer metadatos para saber más o menos dónde estás. Si te tomas una foto, muestras por ejemplo si estás en la plaza de tu pueblo, en el centro de tu ciudad, en un colegio, en una biblioteca,etc. y cualquiera que viva en el mismo lugar que tú, ya sabe a dónde puede ser que vayas tal día y a tal hora...y ya no te cuento los famosos y el problema con los paparazzis. O si no, esa ubicación que muchas personas usan para Twitter.

Figura 3: Tu Ubicación puede que te delate
Pero esto no son los únicos errores por los que puedes tener un gran problema. También mucha gente usa páginas para tener más visitas en sus vídeos de youtube, o tener más suscriptores, o tener más seguidores,etc. porque eso parece que es lo único que importa hoy en día; tener más seguidores que nadie. O eso de vincular una cuenta con la tuya de Twitter o Facebook, para no tener que registrar otra vez el mismo correo y la misma contraseña; porque encima se reutilizan contraseñas, y normalmente sencillas y sin un 2FA.

Conectarse a una red wifi sin la debida Seguridad

Esto es algo que también hacen muchos, el conectarse a una red wifi o que no es suya, o conectarse a una propia pero sin seguir las recomendaciones que un Malvado hizo ya hace un tiempo . Por eso que puedan saber a qué redes te has conectado últimamente e incluso saber o dónde andas o dónde vives. O te hagan un bonito Man in The Middle como al de "rafa1".Miedo++

Figura 4: Mensajes Probe Request de un iPhone buscando redes wifi

Aunque otra cosa que no es menos importante es la cantidad de fotos que sube la gente normal a sus redes sociales de ellas o ellos haciendo cualquier actividad-algunas ilegales como beber alcohol siendo menor de edad- y que cualquiera puede ver. La cantidad de fotos es tal, que mucha gente no sabe si esa foto la ha subido o no, llegando a decir "pero si esta foto no la he subido yo a ningún lado" y vas y te las encuentras en su Facebook. Ya por no hablar de los metadatos que pueda tener, o que si tiene un iOS, la backup que realice iCloud de TODO lo que guarda en su terminal (cosas como las bases de datos de Whatsapp, las contraseñas cacheadas de Facebook o Twitter, las fotos,etc)

Figura 5: Ostia que guay si he subido un follower que le gusta mi foto
poniendo morritos
En conclusión, que se cometen muchos fallos como subir muchas fotos a las redes sociales, conectarse a cualquier red wifi, reutilizar el miso usuario y contraseña para todo, no tener cifrado el equipo en caso de robo,etc. Por eso que esa gente que no se queje, ya que van con un cartel con luces de Neón que dice "Espiame y Hackeame, después e voy a quejar; pero no pasa nada". Por eso tened cuidado, y si haces algo de esto, depués no te quejes de que te espían.

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 18 de noviembre de 2014

Prueba de Acceso a SoftCrim

Ya sabéis que en SoftCrim, nos estamos encargando de dar facilidades al usuario en Internet para que los temas de Seguridad, no les sea tan enrevesado o "difíciles". Además también os dije, que estoy captando gente para SoftCrim, el único obstáculo que pongo para la entrada de gente, es una pequeña prueba, bastante sencilla, y que os voy a contar por si os interesa y os veis con capacidad para superarla. La prueba es algo tan sencillo como "Escribe 5 ideas para el desarrollo de una herramienta que se te ocurran para mejorar la experiencia de la seguridad en el usuario"

Figura 1: Si piensas, tienes sitio en SoftCrim
Yo lo único que quiero es gente que piense, por eso esta prueba, otra cosa más; es que yo no doy limite de tiempo para que me entreguen sus propuestas, tienen todo el tiempo del mundo. Se pueden buscar ideas en libros, Internet, enciclopedias,etc. que eso lo que me dice es que esa persona se mueve y tiene interés por esto; y con estas características, hay un sitio para esas personas en SoftCrim. Así que si quieres participar, ya sabes por dónde contactar conmigo.

Hasta la Próxima Malvados, un HandShake amistoso!

lunes, 17 de noviembre de 2014

Un Bug en RFD que afecta a tu sistema

Hace cosa de un mes vi este post en Segu-info y he de decir que tiene bastante buena pinta el trabajo de investigación que se ha realizado en la Black Hat de este año. Y he decidido probarlo, y aún estoy flipando y si fuese por mi escaso tiempo libre, lo hubiese escrito al día siguiente de leerlo en su blog, pero no he podido y los posts programados son los posts programados, aún así, vengo solamente a contarlo brevemente, si alguno quiere profundizar, visitar su Blog, que lo han explicado algo más.

Figura 1: Bug con comandos JSON

Y si no me he enterado mal, el ataque consiste en inyectar en una URL que se vulnerable a este bug, inyectarle comandos a través de un archivo JSON. Pero la idea-si no me confundo- no es que se ejecuten estos comandos en el navegador, si no en el propio sistema operativo, pudiendo abrir cualquier cosa como lo que muestro en la Figura 2 de a continuación.

Figura 2: Abrir la calculadora con el bug en RFD
Si queréis podéis probarlo vosotros mismos, os dejo el pdf por si queréis auto-educaros, que es la mejor forma sin duda de aprender, solo hay que tener disciplina.

Hasta la Próxima Malvados, un HandShake amistoso!

domingo, 16 de noviembre de 2014

Date por disimulao y no hagas caso al reporte

Figura 1: Los Haters Administradores


¿Qué te tiene tan embelesao? 
¿Qué me esta poniendo a prueba? 
Que bien te lo pasas condenao 
¿O es que te lo haces por si cuela? 
Un ungüento mágico 
Un módico anestésico 
Es tan básico 
Que no te avala el crédito 

Si la idiotez consuela 
Amos anda 
Eres un iluminao 
Amos anda 
¿Ves como no lo aprueban? 
So ¿...? 
Date por disimulao 

Vamos a no prestar atención 
A dejar los reportes a otro lao
Como que si quiero que si no 
Vamos a tomárnoslo tranquilo 
Que no cunda el pánico 
Que no somos estúpidos 
Ni bandálicos -los hackers-
Ni hacemos nada impúdico 

Si la idiotez consuela 
Amos anda 
Eres un iluminao 
Amos anda 
¿Ves como no lo aprueban? 
So ¿...? 
Date por disimulao 

Y esto es lo que suena en mi cabeza cuando un administrador o cualquier otra persona se enfada o se da por disimulao en los reportes de seguridad que se les hace. Menos mal que mi Rosendo me comprende.

Figura 2: Date por disimulao

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 15 de noviembre de 2014

Sin Pardillos 14: Manucariño preocupado por su seguridad

Ya digo que en Internet estamos todos expuestos a que un día vengan y me puedan hackear y robar toda mi vida privada, por eso que esté hora tras hora con esa inquietud de si me han hackeado, ya es una paranoia que tengo, pero ya sabéis lo que dicen "mejor prevenir que curar" y más si te tratan de mis datos y de mi vida.

Figura 1-Sin Pardillos 14: Manucariño preocupado por su seguridad
Hasta la Próxima Malvados, un HandShake amistoso!

viernes, 14 de noviembre de 2014

Ya no se buscan "vulnerabilidades gordas"

Estoy haciendo las diapos para una charla y quería hablar sobre esto para que se pueda encontrar información sobre esto el día de la charla. La charla se llamará "Hacking sin herramientas Hacking". Os dejaré también la presentación por aquí y en mi SlideShare. Pero que no me enrollo.

Esto es una de las cosas que he estado investigando, y no se buscan vulnerabilidades del tipo RFI o CSRF o SQLi-entre otras porque te puede caer una sanción "guaporra"-. Los fallos de seguridad que se encuentran hoy en día, son tan simples como encontrar Metadatos de una organización, encontrar "script alert" en la misma web, o buscar los login.asp, o buscar los códigos fuentes en PHP o SQL de la bases de datos por si se dejan un usuario o contraseña de administración, en definitiva; pequeñas porciones de información que para efectuar un ataque dirigido pueden ser bastante valioso todo lo que encontremos.

Por eso que cualquier incidente que se reporte, por pequeño que sea, esas organizaciones deben de hacer caso y corregirlo, y no hacer como una de esas organizaciones a las que reporte el fallo de seguridad que tenía SoundCloud-una organización que se lo reporta al sitio manteniendo tu anonimato- y que me dijeron que no veían como incidente de seguridad nada de eso, y lo que podía ser un incidente, no estaban en sus manos. Pues muchas empresas están siendo hackeadas y están siendo afectadas por problemas como los que reporte, en los que tengan un XSS o un script , ya es para echarse a temblar, y si encima también tienes viagra como la Clínica que la "vendía", puedes darte por afectado pero bien.

Figura 1: Ya nos e buscan "fallos tontos" que lo dicen los
niños que nunca mienten
Así que lo dicho, hay que hacer caso a estos reportes de Leakage que serán un problema gordo, puede que ahora no; pero sí en el futuro seguramente.

Figura 2: No lo reportamos porque no nos parecen tan chacis

Hasta la Próxima Malvados, un HandShake amistoso!

jueves, 13 de noviembre de 2014

Encuentra lo que buscas sin repetir resultados y con contenidos apropiados

Esto es una de las cosas con las que me he puesto a jugar últimamente, y que os voy a contar lo mejor que pueda en qué trata esto. Lo primero es que lo que voy a contar a continuación es Usando los Buscadores como gran arma, y es que siempre que empiezo buscando cosas que noséqué pero que realmente síséque, me enrollo y enrollo y encuentro cosas bastantes interesantes. Esto me surgió cuando estaba con una Auditoría de las que nos mandan a SoftCrim, de repente me acordé que de esto no había hablado y quería escribir sobre dicho tema.

Lo primero es ver cuántas URLs de un sitio determinado nos pueden mostrar un buscador como Google, Bing,etc. Pues dicho y eso.

Figura 1: Más de 1.500 resultados de la Casa Blanca en Google

Pero hay una peculiaridad, y es que no tienen porqué estar disponibles todas esas URLs  que nos aparecen, por eso tendremos que buscar aquello que esté disponible para nosotros, que es fundamental en un Test de Intrusión. Para poder buscar todas las URLs que están disponibles, lo que debemos hacer es introducir el parámetro & y ya está.

Figura 2: Se reducen bastantes los resultados
Como veis, introduciendo dicho parámetro, se nos reducen los resultados a 13, que siguen siendo resultados, pero bastantes menos que antes. Lo que nos indica que la Casa Blanca está usando bien y entienden todo lo que se está hablando. También decir, que realizando esta misma búsqueda tiempo atrás, aparecían más resultados, otra cosa que nos dice es que saben como funciona las Herramientas del Webmaster de Google.

Buscar URLs con contenidos apropiados y que no estén repetidos

Y esto es lo último que quería contar, y es que tienes a posibilidad de excluir los resultados que Google considere como no muy apropiados, esto es tan simple como desactivar el SafeSearch con el parámetro safe=off

Y por otra parte está el de que no aparezcan resultados repetidos, tan sencillo como aplicar el parámetro filter=0 con lo que van a excluir cuando haya más de 2 URLs con contenido duplicado.

Figura 3: Desactivada el SafeSearch y aplicado el filtro esto es lo que
nos deja la Casa Blanca

Y esto es lo que nos muestra la Casa Blanca aplicando la desactivación de el SafeSearch y aplicando el filtro de resultados repetidos, lo que normalmente nos suele indicar a cuántas URLs vamos a poder tocar y "jugar" con ellas para ver que información nos pueden dar. Ahora dicho tolo lo que quería decir, es vuestro turno de que jugéis un poco con todo esto.

Hasta la Próxima Malvados, un HandShake amistoso!

miércoles, 12 de noviembre de 2014

Encuentra contraseñas por defecto con Shodan

Esto es una de las cosas que he encontrado mientras que tenía uno de mis pocos descansos del día, y es el de encontrar contraseñas por defectos. Lo que he usado para ello Shodan, super conocido ya.

Lo único que hay que hacer es preguntar por "Default Password" y te da todos los resultados que encuentra.

Figura 1: Contraseñas por defecto buscadas y encontradas

Y ya a ver los diferentes resultados que pueden ofrecer, tales como FTPs, Telnets, HTTP,etc

Figura 2: Muchas posibilidades para poder lanzar ataques

Figura 3: Algunos de los resultados obtenidos tras la búsqueda
Ahora lo siguiente es ver cómo se podría atacar a cada servidor, pero eso es algo que no toca hoy, aunque ya sabemos por lo menos que usan contraseñas por defecto.

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 11 de noviembre de 2014

Fotos filtradas de Snapchat. The Snappening otro de los grandes problemas

Efectivamente, en Snapchat no se pueden guardar fotos, pero por lo visto el fallo reside en una aplicación llamada SnapSave. Conclusión, que hace un mes saltó la noticia de los usuarios afectados por este fallo y de los que les robaron fotos privadas y que fueron publicadas en 4chan

Figura 1: Fotos personales publicadas de SnapChat
Todo esto recuerda a lo que ocurrió con el tema de las fotos de las más de 300 famosas desnudas. Y muchas de estas fotos, son de contenido altamente sexual, muchas de estas fotos por lo que dicen, aparecen menores de edad teniendo esas prácticas.

Figura 2: Algo parecido es The Snappening al Celebgate
Ahora el tema es el mismo que con el Celebgate ¿Cómo lo han hecho? Pues yo apuesto a un esquema de Phishing para que introduzcan sus datos de Snapchat o de Snapsaved. Pero ni mucho menos me paro en pensar que este haya sido el único medio por el que hayan atacado a tantos usuarios, tampoco descarto medios como la fuerza bruta. Otro de los posibles ataques podría ser un Man In The Middle que se le haya aplicado a todos aquellos que se hayan conectado a una red wifi que no sea suya, serán por medios. También lo que me niego a pensar es que este ataque lo ha realizado una sola persona, eso no entra ni por asomo en mi mente.

Figura 3: The Snappening otro incidente más para el historial
A todo esto, Snapchat, se lava las manos diciendo que el guardar fotos, es un servicio que tienen prohibido, que no llega a ser un tema en el que estén ellos implicados. Este fantasmita, hace honor a su nombre y desaparecen con todo este debate.

Además, si no vamos al famoso Have I Been Pwned, vemos que hay casi 5 millones de cuentas de Snapchat hackeadas.

Figura 4: Casi 5 millones de cuentas de Snapchat Hackeadas
Y por si eso fuese poco, encima la gente no sabe si sus fotos han podido ser filtradas, pero que hay 200.000 fotos ¿Será alguna la tuya?

Figura 5: Las fotos personales publicadas

El servicio que permitía guardar y compartir fotografías con otros usuarios de Snapchat-SnapSaved-, ha caído-por lo menos el día que estoy escribiendo este post, ya sabéis que hasta casi finales de diciembre programo los posts- ya cuando leáis este post no sé si seguirá caído-he redactado este post el 11 de octubre nada más salir la noticia-
Figura 6: Snapaved caído el día 11 de octubre por lo menos


Además aquí con este incidente, se dan dos de los posts que escribí hace unos días, uno de ellos en el que decía que debes tener cuidado con lo que subes a Internet, que en el día de mañana TODO será público, y el otro era que si realmente importaba la Seguridad al Usuario, ya que con tantos incidentes graves de Seguridad, no veo que estén-como masa- tomando medidas antes de que pase, porque tomarlas después es un gran error. Por eso en SoftCrim vamos a hacer que la seguridad sea algo un poco más fácil para el usuario.

Por eso siempre lo aconsejable es usar un 2FA como Google Authenticator o  Latch, ya que si alguien quiere entrar, debe introducir un OTP o que el Latch esté abierto- solo le deja un tiro al atacante-.

Hasta la Próxima Malvados, un HandShake amistoso!
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...