martes, 30 de agosto de 2016

Tu relación con la seguridad ha terminado por culpa de terceras personas

Con ACLAS, mis ideas han cuajado, hemos conseguido dar forma a esas ideas que pasaban por i cabeza para que un auditor de seguridad tenga más fácil su laboriosa tarea, ya que en estos días, a un auditor le piden auditar muchas webs en poco tiempo, así que hay que automatizar. Una de las cosas que estábamos a punto de implementar en ACLAS, era buscar por tags, por ubicación en las diferentes redes sociales y que te devuelvan qué perfiles son públicos y cuales son privados, y en cuáles de esos perfiles públicos, puede existir información interesante de analizar como una URL en la descripción con algún fallo de seguridad, que sufra fugas de información, que tenga un servicio de login y vaya en HTTP,etc, etc. Y ayer por la tarde, terminamos de implementar esta función y me tiré bastante tiempo enredando con esta nueva función, y lo que encontré fue bastante interesante.


La entrada de hoy, podría considerarse la segunda parte de la entrada "Gracias novi@, amig@, por tu culpa he sido hackeado", pero narrando cómo funciona nuestra herramienta ACLAS, de la que estoy muy muy orgulloso.


Lo nuevo que hemos añadido es una lista con las redes sociales más usadas-Facebook, Twitter e Instagram de momento- y un auditor-en este caso yo- va seleccionando la red social en la que quiere meter la nariz-en en todas a la vez- y buscar por los tags, la ubicación de las fotos, tweets, etc. si hay algo interesante que analizar.

Nosotros, por algo interesante entendemos que si en los comentarios de una foto de Instagram o de una Reply a un tweet alguien ha dejado público su número de teléfono, su tarjeta de crédito, su correo electrónico, etc. o si ese usuario en su biografía de esa red social tiene información como la ubicación o una URL de una web que sufra fuga de información, que tenga un sistema de login cuando va e HTTP en vez de HTTPS, etc, etc, etc.

Con esto, decidí probar en Instagram con mi querida Ceulaj en la ubicación de sus fotos y decidí ver qué mostraba. Lo que pretendemos, no es sustituir a un auditor, no, lo que pretendemos es que agilice el trabajo de un auditor, que simplemente le muestre "dónde atacar", pero que ya sea el auditor el que se encargue de comprobar que de verdad es un camino para atacar a una organización y no es un falso positivo.


Lo que me mostraba ACLAS, es que había fotos con la ubicación en Ceulaj, en la que aparecía perfiles públicos-importante esta distinción de público y privado- en la que en algún usuario, aparecían URLS de webs con fugas de información y que iban en HTTP, así que me fui a ese usuario y lo comprobé.


Cuando vi el usuario, vi que era un periodista-ya sabéis lo bien que me caen los periodistas- y que además de que en su biografía contenía una URL, también se definía como "un caos de persona", así que como me hizo gracia, tenía que comprobar si de verdad era un caos de persona, al meos en el ámbito de la seguridad.


ACLAS informaba que ese usuario contenía en su biografía una URL de una web que sufría fuga de información, contenía Juicy Files, Directories Listings[en esto no me quiero centrar al menos hoy] y además, que en el robots.txt, había información jugosa y que esta web iba en HTTP y requira el login tal y como podemos observar en la captura anterior. Como podéis imaginar, robarle la contraseña solamente conectándose a la misma red wifi que el administrador y abriendo un analizador de tráfico de red, es muy sencillo, pero también podríamos probar enviándole un mail de Phishing al administrador-ya que lo conocemos gracias a la fuga de información que sufre esta web y que ACLAS nos ha reportado-. Esto es una función-la de enviar correos de Phishing, que espero que incorporemos pronto, además que te avise ACLAS de cómo de fácil es suplantar el correo electrónico de una empresa. Ya veis, no queremos dejar ni un solo cabo suelto.




También ACLAS, nos avisaba de que la web iba en HTTP y además de tener un sistema de login, también requería en la zona de contacto, información personal como el nombre, las dirección de correo electrónico, el asunto y el mensaje, algo que si estás dentro de la misma red que la víctima y con la ayuda de un analizador de tráfico de red, es muy sencillo de ver.

Además también nos reportaba que había información de la organización como e-mails. nombres y número de teléfono, que espero que los emails no los hayan reutilizado para cualquier otra red social y que si usan un 2FA basados en SMS, no hayan utilizado ese número de móvil, ya que de lo contrario, pondrían las cosas muy fáciles a un atacante.

Como veis, ACLAS va aprendiendo poco a poco, pero ya agiliza mucho el trabajo de un auditor de seguridad con lo poco que le hemos incorporado. Nosotros esperamos que siga creciendo mucho más, para que así, analizar a seguridad de una organización, no requiera tanto tiempo, aunque como he dicho, no se trata de sustituir al auditor, no, solamente en agilizar su trabajo, el auditor tendrá que seguir currándoselo, pero con más facilidades, eso sí.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...