lunes, 27 de agosto de 2018

Se avecina otra subnormalidad. Jugaré al medievo con tu ano

Os pongo en situación. LLegué un viernes por la noche a Córdoba con mi pareja. Venía de Málaga, que es donde estoy trabajando actualmente. Queríamos descansar, por lo que nos tumbamos en el sofá y pusimos la tele en FDF y estaban retransmitiendo, sorprendentemente, La que se avecina. Yo que no veo mucho la tele, no estaba al día de la serie, pero la vi porque tampoco tenía ningún plan mejor. El capítulo que vi es este que podéis ver en la web de Telecinco, y hablaban, entre otras cosas, de Seguridad.




Empezamos a ver la serie pero ya es la historia de siempre, muy repititiva. Aquí no hay quién viva me mola más, mucho más, era más original, más creativa. Como, al menos yo, perdí interés en la serie, me puse con mi teléfono móvil hasta que escucho lo siguiente:

Fermín Trujillo: "Telefónica ficha a famoso hacker para su comité ejecutivo"

La noticia que está leyendo Fernando Tejero es la siguiente, la del "fichaje de Chema Alonso por Telefónica", aunque en realidad es cuando ascendió a CDO. ÉL ya estaba en Telefónica como CEO.


Recuerdo que levanté la mirada del móvil y dije "¡Coño, van a hablar de Chema!". Pero no o no del todo. Lo que se avecinaba-nunca mejor dicho- era una de esas que, a los que nos dedicamos a seguridad, nos joden, Cosas que Joden como dicen los de Mama Ladilla.


En la vida hay que hacer cosas idiotas.
Por ejemplo una: hablar con idiotas
o sonreir a idiotas.

Rodeado de idiotas por los cuatro costados
me quiero morir
o matarlos
por idiotas,
pero son muchos
y me cansa.

Mejor esperar a que mueran por su cuenta.
Veremos, uno por uno, cómo revientan.
Pondremos todos sus órganos a la venta.
A veces decapitaría por un segundo de silencio. 

Pero aún no llegó lo peor, todo esto lo estaban preparando ya que a Javi{que es informático} lo habían despedido y claro, tenían que soltar hate sin informarse. De repente, Fermín Trujillo suelta lo que me temía que iban a soltar.

Fermín: "Pasan de ser criminales en la red a ejecutivos forrados, tiene sentido"

Y salió lo de Hacker = Criminales. Gracias RAE Y Arturo Pérez Reverte por decir que no se puede eliminar una acepción del diccionrio porque sino una persona que no sepa español no sabrá lo que significan las palabras. Con vuestro querido Diccionario, hay aún mucha gente que no sabe que Hacker no es lo mismo que cibercriminal.Por esto, y mucho más, la RAE es Real Academia de Estúpidos.

Aún queda un poco más de bombo y platillo. Ahora Javi decía lo siguiente:

"¡¿Qué te crees que yo no podría tumbar los patéticos cortafuegos que tienen las empresas?! [...] lo que pasa es que yo tengo la desgracia de ser una persona honrada"

Al final Fermín calienta a Javi y Javi dice "¡Venga, a hackear!" y trata de hackear la web de Zara, pero sin éxito. Y aquí viene lo mejor.

Javi: "Es complicado, tiene codificación multinivel, necesito crear una llave digital mutante, pero es que NO TENGO EL ALGORITMO"

Ni voy a entrar en analizar la tontería de lo que dice Javi ahí, pero es que aquí viene Otra Subnormalidad como dicen de nuevo los de Mamá Ladilla.


y creemos que sabemos lo que hacemos, pero somos unos memos embobaos
que ya ni vemos.
Y es que hagamos lo que hagamos la cagamos,
pero nos pavoneamos de que aquí somos los amos.

Ahora venía cuando tocaba enfocar el portátil de Javi, y lo que se vio es que estaba programando en HTML.


Parece que para los de La que e Avecina, hackear una web es escribir una etiqueta <strong> en HTML. Ya mr hace gracia que la pantalla de fondo es negra cumpliendo con ese cliché "pantallita negra y letra de colores", pero esta vez no es el terminal, es un software tipo Sublime Text o cualquier otro por el estilo.

Que se pongan a hablar de llaves, codificación[y no encriptación, ojo] y lo que esté haciendo sea un <strong> en HTML es bastante lamentable y denota el analfabetismo tecnológico que hay por parte de los guinistas de la serie.

Pero bueno, yo pensé que como no podía hackear Zara con un <h3><strong>, iban a dejar los clichés y se iban a poner a otra historia, pero no, en La que se Avecina tienen que retorcerlo todo para sacarle la última gota a un cliché.

De repente se sienta Ojos de Pollo [un niño de unos 8 años como mucho] delante del ordenador. Le pregunta que qué está haciendo y responde "hackeando". Nada de hacer un footprinting primero para ver qué saca o comprobando si Zara en sus cuadros de búsqueda son vulnerables a algún XSS o si al comprar por Internet utilizan el método GET para realizar un CSRF, pero no, eso sería informarse y hacer las cosas bien.

Le preguntan a Ojos de Pollo que cómo lo ha hecho y responde que "con un código fractal". TREMENDO. Cuando digo que a los guinistas de esta serie se la suda todo y que no se han leído ni una sola línea de los "Métodos de hacking" que han escrito, es porque ni siquiera se han leído las 16 primeras palabras del artículo en Wikipedia donde se explica esto de los códigos fractales. Si se hubiesen leído este artículo, se hubiesen dado cuenta que esto es para la comprensión de imágenes digitales, nada de ninguna clave ni nada para hackear la sede del PP, que es lo que termina hackeando Ojos de Pollo.


Al final, como a todo "buen hacker", meten en la cárcel a Javi, pero llega una empresa de Seguridad que ficha a Javi y lo saca de la cárcel a cambio de que trabaje para ellos, ya que es un crack.


Pero claro, el que hackeó la sede del PP fue Ojos de Pollo, el hijo de una vecina. La solución que piensa es pedirle el hijo a la vecina para llevarlo a una conferenia de informática y no llevarlo a la escuela.

En la oficina, le pregunta a Ojos de Pollo que cómo mejoraría la seguridad de la web del PP, que es el trabajo que la empresa le encarga a Javi. Ojos de Pollo, que es muy inteligente, le responde:

"Con un protocolo de criptografía cuántico combinado con un control anticifrado"

Subnormalidades aparte de aplicar criptografía cuántica y un control anticifrado que rompa la criptografía cuántica implementada, Javi se sorprende y le pregunta que dónde ha aprendido todo eso. Ojos de Pollo lo vuelve a hacer, la vuelve a liar.

"Un genio sabe cosas que no ha aprendido"

Porque claro, la informática no supone ningún esfuerzo [aunque a Javi, un informático, le fue imposible hackear Zara] y los genios no se lo trabajan, no investigan, no le dedican horas. A lo mejor se han confundido de persona y a lo mejor, los que no les dedican horas a investigar e informarse, son estúpidos y se dedican a hacer guiones de series para Telecinco.



Pero oye, ahora parece que han avanzado algo más, ahora Ojos de Pollo e ha puesto a programar en PHP. Sería interesante preguntarle si está utilizando PHP5 o PHP7. Por cierto, sí, es Sublime Text, ahí se ve cómo no han hecho tanto Zoom al vídeo de Youtube de donde hayan sacado ese código y se ven esa numeración de las líneas y esas líneas discontinuas que marcan la sangría tan característico de Sublime Text. Aquí una screen con el código que he replicado en mi Sublime Text. Es la misma interfaz como veis.


No hace falta ser un genio Ojos de Pollo, para darse cuenta que lo de la pantalla será un tutorial que han sacado de Youtube donde explican HTML y PHP. Se nota sobre todo porque en la aptura del código HTML se ve que es un tipo tutorial donde se dice lo típico de "webs que utilizan HTML".

Pero los guionistas tiran la casa por la ventana, les llegó una idea super original. Esa super idea es que Ojos de Pollo le pida la mitad del sueldo de Javi y como este no se lo concede, se enfada y deja a Javi sólo arreglando la web de Microsoft ahora.

Javi, como sabe de Informática pero no de seguridad y de programar de forma segura, hace una chapuza y cuando presenta el arreglo, uno de los "hackers" de la empresa la audita.




Otra vez el HTML con su <h3> y <strong>. Pero mirad si son cutres, que reutilizan para la web de Microsoft con el arreglo de Javi, el mismo código que mostraron cuando Javi intentó hackear la web de Zara. Es el mismo código, solo que aquí complementaron el <strong> 5 Often Used HTML codes.

Esto es gracioso porque la web de Zara Javi no la consigue hackear porque necesita una "llave mutante" y ahora el hacker de la empresa, hackea el arreglo que Javi ha hecho a la web de Microsoft en menos de 2 minutos y diciendo que "parece que este cortafuegos lo ha puesto un niño de 5 años".

En otras palabras, el mismo código HTML en la web de Zara es imposible de hackear, pero en la web de Microsoft es super fácil. Recordemos que Ojos de Pollo hackeó la web de la sede del PP y no la web de Zara. Suponemos que era super difícil para Ojos de Pollo, un genio.

Para TeleCinco era muy complicado llamar a ese "famoso hacker que fichó Telefónica" para que el mismo Chema diese unos consejos y revisase el guión. No hace falta que me llamen ni a mí, podrían llamar a cualquiera de los grandes profesionales en seguridad que tenemos en España, pero no, a los guinistas se la suda todo.

Pues esto no se va a quedar así. Como dicen los de Mama Ladilla, voy a jugar al medievo con su ano.


Me puse a investigar un poco y encontré algunas cosas curiosas.



Por ejemplo, en Telecinco para acceder al correo utilizan Outlook. Lo normal es que lo tengan descargado en sus ordenadores, pero el simple hecho de que sea posible acceder vía web, ya me parece un fallo importante, ya que en caso de obtener las credenciales de un/a trabajador@ podríamos entrar y utilizar su firma para que en el entorno de Phishing los demás trabajadores caigan en la trampa.


Otros de los enlaces que encontré es el de servicios.telecinco.es, un enlace al que no tenía acceso, pero un poco de Google Hacking et voilá.


Tenemos acceso a un pdf de Telecinco. Esto está muy bien y que conocemos una parte del listado de directorios dentro de ese enlace.


Si tiramos un poco hacia atrás en la URL, veremos que nos vuelve a decir que no tenemos permisos. Esto es seguramente porque estoy accediendo desde mi red wifi, pero si consiguiese conocer la red wifi que se utiliza en Telecinco, podría acceder sin problema ninguno.

También, si conociese la dirección de correo de cualquier trabajador, podŕia intentar tener acceso a su ordenador vía meterpreter y acceder al servidor web vía SSH o cualquier otro método para cambiar los permisos de la carpeta.


Finalment, pasé el pdf por Metashield y saqué el software que se empleó para crear el documento y además pude saber que reutilizaron otro documento para crear este. Es decir, que trataron el tema de seguridad y tienen algunas cosillas en su web que no huele muy bien del todo.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...