No me mires el User-Agent que te meto un XSS {o un SQL Injection}

Es un hecho que el método más común y utilizado por las aplicaciones web para conocer el tipo de navegador usado por cada cliente se basa en el valor de la cabecera HTTP User-Agent que se envía desde el propio web browser. Como este es un campo que cualquiera puede modificar, desde hace muchos años se estudian diferentes formas de averiguar el navegador exacto que es mediante las técnicas de web browsing fingerprinting de las que desde hace ya más de siete años se les comenzó a dedicar algún artículo en este mismo blog.

Figura 1: No me mires el User-Agent que te meto un XSS {o un SQL Injection}

A pesar de que en la navegación web del día a día, la información de esta cabecera pase desapercibida para el usuario medio, el navegador está constantemente enviando información sobre sí mismo como la versión exacta del software, el motor de renderizado, etcétera, algo que no siempre gusta a la gente de seguridad, ya que también se filtra información sobre el propio sistema operativo, como la versión y la arquitectura del mismo.

Figura 2: Cabecera HTTP User-Agent enviada por defecto desde un Firefox en Windows

El valor de User-Agent y la seguridad informática


Este exceso de información en el valor del User-Agent tiene muchas connotaciones desde el punto de vista de la seguridad, ya que para un Kit de Explotación es fácil identificar el exploit concreto que se debe ejecutar, o qué tipo de ataque client-side se puede lanzar a un determinado usuario, sobre todo si hablamos de dispositivos móviles.

Debido a estas posibilidades, muchos navegadores de Internet cuentan con extensiones y complementos que permiten hacer spoofing de la cabecera User-Agent y establecer un valor personalizado, que puede usarse desde para pretender ser otro navegador, simular ser el bot de Google y ver menos publicidad en los periódicos, detectar infecciones de BlackSEO haciendo cloaking o auditar el código de una web mostrado a los distintos motores de renderizado.

Además, para las aplicaciones web, esta cabecera aporta gran cantidad de información sobre el cliente, por lo que es habitual almacenarla permanente para posteriormente obtener estadísticas de los navegadores más utilizados, sistemas operativos de los usuarios, dispositivos, versiones de software, etcétera. Por lo tanto, se puede considerar a la cabecera User-Agent como un parámetro más de entrada, al igual que lo es un parámetro querystring, y como tal se debería validar en caso de utilizarlo, ya que como dijo Michael Howard:

 "All input is Evil until it proves otherwise"

Ya hemos visto en el pasado exploits de Time-Based Blind SQL Injection ejecutados a través de valores User-Agent, y una manera sencilla de comprobar si el programador de una web está capturando esta cabecera y validándolo correctamente, es instalarse un complemento para modificar la cabecera User-Agenty establecer un valor que debería filtrarse.

Figura 3: Complementos para spoofear el valor de User-Agent

Un test de XSS con inyecciones en la cabecera User-Agent

Para esta demostración he instalado en Mozilla Firefox - se escoge Firefox por no tener filtro Anti XSS - un complemento que permita cambiar el User-Agent. Este complemento queda accesible desde el menú Herramientas y permite elegir unUser-Agent entre algunos configurados por defecto, o añadir uno personalizado. Para el caso a tratar, hay que añadir uno nuevo, accediendo al menú ‘Edit User Agent’.

En la nueva ventana se muestran los diferentes valores de User-Agent configurados en el complemento. Desde aquí se pueden añadir nuevos, borrar los existentes o editar cada uno de ellos. Pulsando el botón ‘New’ aparece una ventana, donde hay que definir el nuevo User-Agent. Lo único necesario es establecer en el campo ‘Description’, el nombre que se desee que tenga el nuevo User-Agent. Dicho nombre aparecerá en el menú del complemento para seleccionarlo cuando se quiera utilizar. Para esta demostración se establece el nombre ‘XSS Alert’ y en el campo ‘User Agent’ se introduce el valor que se desea enviar en la cabecera. Como la demostración trata de comprobar si las webs validan entradas maliciosas, se introduce el valor <script>alert('User Agent XSS')</script>

Figura 4: Creando un valor de User-Agent con inyección de un XSS clásico

Lo único que queda es acceder al menú Herramientas, y seleccionar el User-Agent recién creado. Ahora hay que buscar una página web que interprete el script que se ha indicado en la cabecera. Para ello, desde el navegador he realizado una búsqueda con las palabras "What Is My User Agent" y he ido accediendo a las páginas webs que se han encontrado en los primeros resultados. Los primeros que aparecen son webs dedicadas simplemente a mostrar el valor de User-Agent con el que se ha realizado la petición.

Figura 5: Búsqueda de sitios web que muestran el valor del User-Agent

El resultado del experimento ha sido bastante curioso, pues de una primera página con sitios devueltos desde Google con 10 URLs, en 3 de ellas aparecerá una bonita ventana de alerta con el texto 'User Agent XSS', un claro reflejo de que a día de hoy queda mucho camino por recorrer en materia de concienciación de seguridad.

Figura 6: Uno de los sitios que se come el XSS en el campo User-Agent

Viendo esto, si tienes una aplicación web que captura estadísticas y las mete en una base de datos o las muestra por un portal web de administración, comprueba muy bien el valor que te pueda llegar, no te vayas a comer un XSS o algo peor.

Autor: Ioseba Palop
Ingeniero Faast (Eleven Paths)

I, Robot: Cómo leer el periódico online sin tanto anuncio

Supongo que como muchos, la publicidad exagerada en los portales de noticias no os gustan demasiado. Parece que la web ha vuelto a los años 80 o 90 con tanto bannery tanto anuncio de políticas de cookies - que no tienen mucho sentido cuando es evidente -, pero hay que entender que ése el modelo de negocio para muchos sitios. Viendo todo esto, me pregunté si le estarían entregando toda esa publicidad también a los bots de los buscadores cuando les indexan, ya que el entregar una web tan pesada y con recargas después de la publicidad, suele ser malo par el SEO, así que decidí echarle un ojo a los principales periódicos y resulta... que Google no ve tanta publicidad.

Figura 1: I, Robot o "cómo leer el periódico online sin tanto anuncio"

Para entender lo que sucede, hay que hablar de las técnicas de cloaking, que se utilizan para mostrar distinta información a los bots que utiliza Google para indexar que al usuario final que se conecta.

Navegando con el User-Agent de GoogleBot

Esto, como ya he dicho, se suele utilizar como forma de dirigir mejor el SEO de una web, y algunas veces Google ha penalizado cuando se hace intentando manipular la indexación de resultados de manera descarada cambiando radicalmente el contenido que se muestra al usuario con el que se muestra al bot.

Figura 2: User-Agents utilizados por los bots de Google

Este filtrado de contenido en función del cliente no siempre se hace para engañar aGoogle en campañas de BlackSEO sino que a veces se hace por otros motivos que tienen que ver con la eficiencia, el mejor ajuste de contenido o directamente porque hay impacto en el negocio del sitio. En cualquier caso, sea el motivo que sea, una web puede hacer un filtrado por dirección IP de origen, por el valor de HTTP Refererdel que venga o por el campo User-Agent que muestre el navegador, y mostrar una página web diferente en cada caso.

Figura 3: Cambiar el User-Agent en Mozilla Firefox para simular ser GoogleBot

Yo quería ver si al GoogleBot le estaban mostrando tanta publicidad, así que me fui a la página de Google a buscar cuáles era los últimos valores de User-Agent que estaba utilizando, y me configuré varios utilizando las herramientas de Mozilla Firefox para configuración del campo User-Agent que permiten hacer un spoofingdel auténtico navegador.

Figura 4: Página de El Pais mostrada si se navega con el User-Agent por defecto de Mozilla Firefox

Una vez hecho esto, fui a navegar a la misma página del periódico, y me sorprendió - en positivo - que no me aparecía tanta publicidad en la web, solo porque estaba navegando con el User-Agent de GoogleBot.

Figura 5: Página de El País si se navega con el User-Agent de GoogleBot

Esta misma prueba la realicé en varios periódicos, y el resultado fue más o menos similar. Como se puede ver en esta primera captura, aparece un banner superior en la portada y otro banner en la misma página.

Figura 6: Página de El Mundo si se navega con el User-Agent por defecto de Mozilla Firefox

Mientras que navegando con el User-Agent de GoogleBot ya no hay tanta publicidad en la página, y la navegación es mucho más cómoda. Todo, sin hacer uso de ningúnadblock o similares.

Figura 7: Página de El Mundo si se navega con el User-Agent de Google Bot

Cambiar el USER-Agent en los dispositivos móviles

Este truco de cambiar el User-Agent se puede utilizar también en los dispositivos móviles. En el caso de iPhone o iPad, es necesario hacerse con un navegador que permita utilizar otro valor de User-Agent, como por ejemplo Sleipnir, que tiene una opción de personalización. Yo he configurado el valor del User-Agent de GoogleBot, tal y como se ve en estas imágenes.

Figura 8: Configuración de un User-Agent de GoogleBot en Sleipnir para iPhone

Después, se puede comparar la misma web de el periódico El Mundo vista con elUser-Agent normal de Safari Mobile en iOS y vista con el User-Agent de GoogleBoten el navegador Sleipnir.

Figura 9: A la izquierda navegación con User-Agent GoogleBot en Sleipnir.
A la derecha navegación con el User-Agent normal de Safari Mobile en iOS.

La misma prueba, pero con el periódico de El País, donde también desaparecen algunos anunciones con solo simular ser un GoogleBot.

Figura 10: A la izquierda navegación con User-Agent GoogleBot en Sleipnir.
A la derecha navegación con el User-Agent normal de Safari Mobile en iOS

En Android esto se puede hacer de igual forma con cualquier web browser que permita editar el valor de User-Agent, pero ten cuidado a la hora de elegir el navegador, ya que en Android hay muchos navegadores que son inseguros a ataques de man in the middle.

Aligerando tráfico para ganar velocidad con GoogleBot SmartPhone

Puede que los anuncios no se muestren porque las casas de publicidad no quieren contabilizar y pagar las impresiones automatizadas, así que los Ad Servers pueden filtrar estos User-Agent y no enviarlos. Pero lo cierto es que es una ayuda y puedeahorrar tráfico tanto en conexiones de pago como hacer que vaya más ligero el contenido en conexiones de poca velocidad.

Figura 11: Valor de User-Agent usado por Bot de Google Smartphone

Recordad que el truco de cambiar el User-Agent por el de Google, se puede hacer también por el User-Agent de la versión móvil, es decir, del smartphone, para lograr que ahorra tráfico en conexiones muy lentas.

Figura 12: Pagína de El País en versión móvil vista con el User-Agent de GoogleBot SmartPhone

Por ejemplo, la versión móvil de El País con el User-Agent de GoogleBot Smartphone va superligera y con muy poca publicidad. Así que puede ser una muy buen alternativa para utilizar tanto en el dispositivo móvil como en el equipo de escritorio. Esto, por supuesto funcionará mientras no apliquen técnicas avanzadas de Web Browsing Fingerprinting.

Saludos!

WhatsSpy-Public: Cómo te pueden espiar las conexiones de WhatsApp

No es la primera vez que sale una prueba de concepto similar a WhatsSpy-Public e incluso salieron servicios online que podían hacer algo como esto. La idea de esta herramienta es monitorizar tres parámetros de cualquier número de teléfono que tenga cuenta de WhatsApp, que son "Foto de Perfil", "Última Conexión" y "Mensaje de estado", permitiendo que alguien haga un seguimiento completo de tu actividad en WhtasApp - eso sí, sin poder acceder a ninguna de tus conversaciones -.

Figura 1: WhatsSpy-Public: Cómo te pueden espíar las conexiones de WhatsApp

No es la primera vez que se hacen este tipo de servicios, y hace mucho tiempoAlejandro Ramos (@aramosf) - escritor del premiado libro Hacker Épico - monitorizó los mensajes de estado de todos los teléfonos de WhatsApp de España, para sacar datos curiosos. Sacar fotos del perfil de una cuenta de WhatsApp se ha podido hacer públicamente antaño, y desde la publicación de un par de fallos de privacidad en WhatsApp Web se puede volver a hacer.

Figura 2: Bug de Privacidad de foto descubierto en WhatsApp Web

En el último de los casos, la última conexión es algo más de diseño del sistema de chat en sí, que de la implementación de WhatsApp. Lo que permite una monitorización constante de ese valor, es decir, de si está online o no y cuál fue la última vez que se vio conectado a alguien es que se haga una linea temporal de cuándo se conecta una persona.

Figura 3: WhatsSpy-Public. Foto, time-line de conexión y estado

Esto es lo mismo que yo os publiqué hace no mucho tiempo en Telegram, ya que el sistema se basa en el mismo concepto. WhatsApp está baneando todas las cuentas que usaban los servicios que monitorizan los estados de conexión, pero si utilizas una cuenta personal, a WhatsApp se le hace más difícil bloquear esto, y esto es lo que hace WhatsSpy-Public.

Figura 4: Monitorización de horas de conexión en Telegram

Al final, la pregunta de cómo espiar WhatsApp es de lo que más recibo, y lo que la gente hace con estas lineas temporales de conexión es compararlas. Se ponen dos juntas y se mira si hay patrones de conexión a las mismas horas. Normalmente esto es algo enfermizo, pero por desgracia la gente puede llegar a estas cosas. 

Figura 5: Petición de "piratear" el WhatsApp de una persona recibida

Seguramente WhatsApp arreglará pronto los problemas del estado y de la foto de perfil, mientras se pueda consultar la fecha de conexión, el last-seen puede ser calculado. Mientras tanto, estas avisado de estas cosas.

Saludos Malignos!

5 cosas que Steve Jobs dijo que Apple nunca haría. Y que Apple está haciendo

Steve Jobs era un individuo sumamente testarudo y tenía ideas muy firmes sobre los productos de Apple, algo que generalmente traía buenos resultados para él y para la empresa, incluso cuando los críticos se burlaban de las decisiones de la compañía.
Pero desde su muerte en 2011, Apple se ha venido apartando lentamente de algunas de la creencias de su fundador y está haciendo cosas que Jobs dijo que él nunca consideraría.
Pluma (stylus): esta semana, un analista de Apple sugirió que la próxima generación de iPad vendrá con una pluma, algo que odiaba demasiado Jobs.
En 2007, mientras introducía el iPhone en la convención Macworld en San Francisco, él se burló de los otros teléfonos inteligentes de esa era que venían con plumas.”Tienes que sacarlas, guardarlas y las pierdes. ¡No! Nadie quiere una pluma. Así que no usemos plumas”.
Una de la primeras cosas que Jobs hizo cuando regresó a Apple en 1997 fue eliminar el Newton, un dispositivo similar a una tableta que utilizaba una pluma.
Sin embargo, Ming-Chi Kuo de KGI Securities dijo que el tan esperado “iPad Pro” de 12,9 pulgadas vendrá con una pluma cuando Apple lo anuncie en la primavera, según un informe obtenido por AppleInsider.
Tabletas pequeñas: otro sermón épico llegó en octubre de 2010, cuando él discutió su desagrado por la nueva ola de tabletas más pequeñas que llegarían al mercado.
Para Jobs, el iPad con pantalla de 10 pulgadas era “el tamaño mínimo requerido para crear buenas aplicaciones para tabletas”. Para él hacer que las imágenes se vieran más nítidas en la pantalla no ayudaría a que las tabletas pequeñas se volvieran más utilizables “a menos que la tableta incluya una lija para que puedas lijar tus dedos y reducirlos a una cuarta parte de su tamaño real”.
Un año después de la muerte de Jobs, Apple presentó el iPad mini… este es, por un amplio margen, el iPad mejor vendido en la alineación de la compañía.
Teléfonos grandes: durante el escándalo “Antennagate” del iPhone 4 de Apple en 2010, Steve Jobs ridiculizó los teléfonos grandes. “No te cabe en la mano”, dijo. “Nadie lo va a comprar”.
Apple finalmente debutó un iPhone 5 más alto un año después de la muerte de Jobs, y un iPhone 6 y un6 Plus mucho más grandes el año pasado.
Diseño de software parecido a la vida real: Steve Jobs quería que el software del iPhone imitara la vida real. Por ejemplo, él le pidió a los diseñadores de Apple que el cuero de la aplicación iCal estuviera basado en los asientos de su avión Gulfstream.
La aplicación Mail de Apple tenía un fondo de lino, el iBookstore contaba con repisas de madera y la aplicación Notes fue creada para que pareciera un block de notas.
Un año después de la muerte de Jobs, Apple despidió a Scott Forstall, un ejecutivo de software que defendía las preferencias de diseño y presentó el iOS 7, el cual se alejaba de cualquier vínculo con objetos de la vida real.

Filantropía: entre las primeras cosas que Jobs hizo en su regreso a Apple en 1997 fue ponerle fin a todos los programas de actos filantrópicos de Apple. Él dijo que quería traer a Apple de vuelta a la rentabilidad, pero nunca reintegró los programas incluso después de que la empresa obtuviera algunas de las ganancias más altas jamás registradas por una compañía pública.
Apple estaba fuertemente involucrada con la organización benéfica (RED) de Bono a favor de la investigación sobre el SIDA, pero el mismo Jobs no era un gran donante.
Cuando Tim Cook asumió el mando como director ejecutivo en 2011, una de sus primeras acciones fue restablecer el programa de donaciones de Apple. (Redacción El Intransigente)

Instalar un AntiVirus en Android puede ser muy peligroso

Si alguien piensa que un antivirus (nombre más conocido por el gran público) - oantimalware (más conocido por los que trabajan en el sector tecnológico) - es una solución perfecta de seguridad es que es alguien de marketing o ventas. Dicho eso, no seré yo el que diga que una solución antimalware es inútil, ni mucho menos, y a cualquiera que me pregunte le suelo recomendar que ponga uno en sus equipos, incluido por supuesto, el sistema operativo Android. En este sistema operativo hemos visto adware, bootkits, troyanos, virus y "crappware" en general de todos los tamaños y colores, y por ello creo que hay que tomarse esta amenaza muy en serio en el mundo de Android.



Figura 1:Instalar un AntiVirus en Android puede ser muy peligroso (si no pones uno auténtico)



Mi recomendación a todo aquel que pregunta es que si te gastas 300 € o 500 € en un dispositivo y vuelcas tu vida digital en él con un sistema operativo Android, el escatimar en tu protección me parece irresponsable - pero cada cual decide en qué se quiere gastar su dinero.


Elegir un Antimalware para sistema operativo Android


Yo suelo recomendar siempre soluciones antimalware profesional, con una historia contrastada en este mundo, y suelo hablar de las soluciones de Intel Security (McAffe), ESET, Kaspersky, Symantec, BitDefender, AVAST o similares, sin entrar en la enésima comparativa de cuál es más rápido o cuál detecta más muestras. Las soluciones profesionales de antimalware de estas casas suelen, además de contar con un laboratorio más o menos grande detrás, conocer el mundo del cibercrimen y el fraude online, y ofrecen soluciones completas con, por ejemplo, las solucionesAnti-Theft (Anti-Robo), para tener alguna oportunidad de recuperar un terminal perdido y proteger los datos cuando sea irrecuperable.



Figura 2: Las webs de las empresas antimalware tienen enlaces a las apps en los markets (en este caso con un QRCode)



Como última recomendación, no me quiero olvidar de dejar escrito que es importante estar seguro de estar descargando y/o comprando la app oficial enlazada desde la web oficial del fabricante. Es decir, no busques la app en Google Playdonde estarás a merced del posicionamiento de cualquier app que haya podido ser conseguido con técnicas de BlackASO (Black App Store Optimization). Lo mejor es que si quieres usar, por ejemplo el antimalware de ESET para Android, te vayas a la web de la empresa y busques cómo se llama la herramienta y el enlace a la misma en Google Play, en este caso ESET Mobile Security.


¿Y si no haces eso? Pues entonces poner un Antivirus en Android puede ser muy peligroso.


En el mundo del cibercrimen, hace ya años que se inventó el Rogue o Fake Antivirus, que no es nada más que un malware camuflado como antimalware que te va a sacar dinero con malas prácticas. Así, las víctimas que acaban instalando estos Rogue AV o Fake AV para Android, recibirán alertas de virus que no existen, bloqueo y secuestro de ficheros por culpa de virus que son ellos mismos y que obligarán a pagar por nuevas versiones o falsas vacunas para poder seguir temporalmente usando el sistema operativo.



Figura 3: Android Defender un Fake AV para Android



Aprovechando que en Eleven Paths tenemos Path 5, nuestro Big Data de apps deAndroid, es fácil ver la cantidad de aplicaciones que con la palabra "Antivirus" existen y han sido quitadas de Google Play.



Figura 4: Tenemos localizadas en Path 5 un total de 320 apps con el keyword "antivirus" en el nombre



Pero no solo eso, sino que si miramos cuantas de ellas han sido marcadas como software malicioso por algún antimalware de verdad, podemos ver que el número es grande.



Figura 5: Hay 129 apps con la keyword "Antivirus" en el título eliminadas de Google Play y marcadas como software malicioso por algún antimalware profesional



Y lo que es aún más sorprendente, apps que están aún en Google Play tienen en el nombre el término Antivirus y que han sido marcadas por alguna casa de antimalware profesional como software malicioso - lo que debería llamar poderosamente la atención de cualquiera -, es también alta.




Figura 6: Apps en Google Play con el keyword "Antivirus" y que algún Antivirus profesional marca como software malicioso o sospechoso



Al final, si tienes un terminal Android y vas a poner todos los datos de tu vida personal digital en ese dispositivo, más te vale tomarte en serio la seguridad. ¿Unantivirus perfecto? Creo que no existe, pero seguro que su ayuda será siempre positiva, mientras que la de un adware, fake AV o Rogue AV simulando ser unantivirus será siempre negativa y no te defenderá para nada de la cantidad de crappware que muta por el market.


Saludos! y  feliz carnaval

Read The F****ng Manual y hackea la WiFi del Hotel

Somos muchos los que hemos aprovechado estos días navideños para desconectar: estar con la familia, hacer un viaje, ver alguna ciudad europea y actividades terrenales similares en el mundo analógico. Todo genial hasta que llegas al hotel ávido de bits para acallar el ansia digital que te azota y te encuentras con una red inalámbrica que no funciona bien y te deja en modo off-line aún más tiempo. Es increíble cómo te puede dar el viaje un detalle tan tonto y hacerte sufrir. En mi caso fue en un sitio en el que disponían de una red WiFi que funcionaba muuuy lenta que me tenía frustrado: "¿Qué conexión de salida tendrá el hotel?", es la pregunta que me hice al ver aquel panorama tan desolador.



Figura 1: Read The F****ng Manual y hackea la WiFi del Hotel

Aprovechando que una mañana me levanté bastante pronto, me puse a echar un vistazo con la tablet - que no tenía mucho más con que trabajar - a ver qué encontraba por la red, con el afán de intentar que mi conexión fuera un poco más ágil.



Figura 2: El sitio tenía una red WiFi para cada zona

Una red inalámbrica por habitación para dar cobertura a la instalación completa, pero luego las credenciales para hacer login eran comunes para todas las habitaciones y con ellas después te conectabas a la red WiFi general que es la que daba acceso a Internet.



Figura 3: Configuración de la red WiFi una vez conectado

Revisando la configuración que me estaba entregando el servidor DHCP de la red pude ver que había un dominio de búsqueda configurado para nonius.hsia O.o... "¿y esto qué es?", me pregunté una vez que la curiosidad me picó. La navegación, aunque lenta, funcionaba. Así que vamos a ver de qué trata esto...



Figura 4: Configuración de redes WiFi para hoteles

Como se puede ver, tiene pinta de ser el sistema que utiliza el hotel para gestionar la navegación de los clientes, así que pensé que merecía investigar un poco más sobre este sistema a ver si conseguía saber por qué iba tan lenta mi conexión. Vamos a echarle un ojo al folleto, a ver si se puede encontrar información más concreta: modelo, prestaciones, etcétera.



Figura 5: Modelos de conexión WiFi con distintas capacidades

Como se aprecia en el manual, aparecen dos modelos como posibles. Uno de esos tenía que estar a cargo de mi lenta, lentísima conexión WiFi, por lo que quise saber un poco más del porqué de mi poca velocidad. Así por encima, por usuarios y por ancho de banda no tienen pinta de tener problemas para soportarnos y darnos una buena calidad de servicio, así que decidí ir a Google y buscar información de uno de ellos... y unos señores holandeses facilitan el manual de configuración :) "¡Genial!, a ver qué pone en el manual", pensé y comencé a leerlo.



Figura 6: Diseño de la red con este hardware WiFi

Por supuesto, todo lo inicial es información técnica del equipo, pero además de todos los aspectos de configuración básicos, también hay un ejemplo de ubicación del appliance en la red que me vino genial para entender dónde estaba yo realmente.



Figura 7: Ubicación del panel de administración del appliance

Ahora ya sabía dónde estaba yo, y dónde estaban el resto de elementos de la red, así que tenía mucha más información que al principio. Con estos datos, solo debía volver a la configuración de la red en sí y buscar en la dirección IP que según el manual lleva por defecto el interfaz de administración y, como no, la contraseña que trae por defecto también este sistema, que ya son muchos los casos en los que lascontraseñas por defecto se quedan en hoteles para que incluso con resaca se hackee la red WiFi o en cualquier otro sistema de administración.



Figura 8: Contraseña por defecto del panel de administración. Compleja, pero pre-fijada

Como se puede ver, la contraseña no es la típica de "admin" o "123456", pero aún así sigue siendo un fallo de seguridad reconocido por todos el que estos dispositivos vengan con una contraseña por defecto pre-establecida. Para hacerlo bien, es necesario que durante el proceso de instalación del sistema se exija poner una nueva contraseña, así no habría nunca más este tipo de problemas de Default Passwords.

Una vez llegados hasta este punto solo quedaba ir a echarle un ojo con la configuración del equipo desde la tablet, ya que como era de esperar, igual la dirección IP por defecto se mantiene al igual que la contraseña



Figura 9: Accediendo al panel de configuración.

Como se puede ver, no solo la dirección IP de configuración que vimos en el mapa se mantiene, sino que como es de esperar cuando el que hace la instalación de un sistema no está preocupado por la seguridad, la password del admin sigue siendo la misma. Visto esto, creo que al final la idea de poner Latch en los OpenWRT para dar servicio WiFi no es ninguna mala idea.



Figura 10: Acceso al panel de administración

Me imagino llegado a este punto la conversación con el instalador:

"¿Poner otra contraseña?, Bah, para qué no sea que se le olvide. No creo que por fuerza bruta la vayan a sacar y ¡ni que estuviera en los manuales!"Una vez aquí... con mala idea se podrían hacer muchas cosas, como desconectar la interfaz WAN para que ese status "PROVIDING_SERVICE_FINE" pasase a algún mensaje en rojo, o por ejemplo cambiar algo en la configuración de "billing" del sistema y que le cobren una pasta al huésped de la habitación de al lado.



Figura 11: Configuración del sistema de red WiFi en el hotel

En este caso estaba echando un vistazo, tenía curiosidad por ver la conexión de salida... Network Interfaces: Wan Interface 1 -> eth0, y un poco más abajoBandwidth -> eth0 -> 3megas...Bueno, ya tenía la explicación de por qué mi conexión WiFi era tan mala, no habían contratado una mejor línea con el operador. Ya podrían haber puesto Fibra Óptica en el hotel, ¡que estamos en 2015 ya!

Autor: Pedro Jiménez

Cómo te pueden espiar por Telegram

Desde la irrupción de Telegram en el mundo de las apps de mensajería, muchos son los que han abrazado este sistema como forma de comunicación por defecto. Las críticas a los múltiples fallos de seguridad del rey en este mundo, que ha llevado a la aparición de técnicas, estafas, herramientas y sistemas para espiar WhatsApp, hizo que la llegada de Telegram con sus mensajes cifrados end-to-end y la posibilidad de usar comunicaciones que se autodestruyen, pareciera un sistema súper seguro de comunicación. Pero no es tan así, y hay formas y maneras para que afecte de forma drástica a la privacidad de tu vida personal.




Figura 1: Cómo te pueden espiar por Telegram


Estas son algunas cosas que debes conocer antes de que consideres a esta aplicación como la panacea de la seguridad y la privacidad de tus comunicaciones móviles.


1.- Los mensajes que se autodestruyen no tienen porque autodestruirse

Cuando se envía un mensaje cifrado a un destinatario de Telegram, por mucho que hayas puesto un temporizador en los mensajes, estos no tienen porque eliminarse. Si el usuario al que le envías el mensaje utiliza una aplicación de consola es bastante sencillo para él tener una aplicación que capture los mensajes.



Figura 2: Con Telegram Anti-Delete Protection Tool los mensajes que se borran o autodestruyen se guardan


Si el destinatario tiene una aplicación en un dispositivo móvil, como por ejemploiPhone, podría utilizar una app como Telegram Anti-Delete Protection Tool que modifica la app para que si se borra algún mensaje quede guardado y se pueda recuperar desde un equipo con Windows. Este tipo de herramientas son similares para otras apps de mensajería como Twitter, Skype o WhatsApp.


2.- ¿A qué horas usas Telegram?

El famoso "estar en línea" que tienen las aplicaciones de mensajería comoWhatsApp o Telegram permite a cualquiera automatizar un control constante de los horarios de uso de la aplicación. En el caso de WhatsApp, si intentas hacer uso de esta característica de forma automatizada, hemos visto que la plataforma de mensajería anula la cuenta, con lo que no se puede hacer fácilmente.




Figura 3: Telegram, como WhatsApp, informa si alguien está conectado


Con Telegram, abusando de la app oficial de consola mediante una automatizaciónhecha con Python, hemos creado una Prueba de Concepto que muestra, en todo momento, a qué horas está en línea o no un usuario de Telegram.



Figura 4: Seguimiento de actividad de una persona por medio de Telegram


Conocer esta información puede servir a alguien - un mal jefe, un acosador@ o simplemente un stalker - saber a qué hora te levantas, a qué hora te acuestas y, por supuesto, si usas o no Telegram. Esta información puede ayudar a saber incluso en qué franja horaria se encuentra un determinado directivo o persona.


3.- Espionaje de mensajes por personas cercanas

Al igual que en el primer ejemplo, alguien de tu entorno podría utilizar Telegram Anti-Delete Protection Tool para espiar tus mensajes. Si esa persona tiene acceso a un ordenador al que conectas tu iPhone, con esa herramienta - sin conocer el passcode ni tener jailbreak - podría sacar todos los mensajes que están en la base de datos almacenados, e incluso ver los que se han borrado.



Figura 4: Con Telegram Anti-Delete Protection Tool se ven los mensajes
en base de datos de Telegram y borrados extraídos directamente desde el iPhone


Debes tener mucho cuidado con qué equipos pareas con tu terminal iPhone, pues como se explica en el libro de hacking iOS: iPhone & iPad, desde él se pueden hacer muchas cosas malas - incluso con tu Telegram. Ten mucho cuidado.


¿WhatsApp o Telegram?

Hoy en día, con los esfuerzos de WhatsApp en temas de seguridad, y con la llegada de la tecnología de TextSecure del hacker Moxie Marlinspike, y con las protecciones contra los abusos masivos en ataques, parece que va a mejorar mucho su seguridad.



Figura 5: Comparativa de EFF sobre apps de mensajería



En la EFF hay un ranking de seguridad de aplicaciones de mensajería en las que algunas como iMessage o TextSecure o Wickr salen bastante bien parados. No obstante, pensar que una u otra van a ser seguras y tú no vas a tener que preocuparte de su seguridad es un error. La mayoría de los casos, el principal problema es dónde y cómo se usan esas tecnologías.


Saludos!

Navegadores de Android que no debes usar si no quieres que te roben tus contraseñas. Ten cuidado.

El viernes pasado se publicó un aviso de seguridad relativo a una herramienta llamada AppsGeyser que permite crear aplicaciones a partir de aplicaciones web. La idea es bastante sencilla, automatizar un sistema de flujo a través de las famosasWeb Views que se usan tanto en apps para iOS como para Android. El hacer navegar por la web un usuario dentro de una aplicación móvil usando estasWebViews puede tener riesgos, ya que en ellas es necesario aplicar todas las medidas de seguridad que un WebBrowser de verdad tiene, y muchas veces hemos visto que no es así. En casos como el ejemplo del robo de cuentas de Apple ID aprovechábamos las Web Views de Gmail para iOS para ocultar la URL donde estaba publicado el servidor de phishing.



Figura 1: Cuidado con los Web Browsers que usas en Android

La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web dehttps://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones.



Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.

Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminalesAndorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.


Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook

Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APKde las apps que genera, que como podéis ver lleva por nombre BrowserTools.


Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser

Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.



Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play

La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.



Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser

Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.

- MEGA Fast Browser
- Best & Fast Web Browser
- My Personal Browser
- Santini Labs Web Browser
- Suvy Browser
- TheAlwaysBrowser
- Aurora Web Browser
- Internet Access Browser
- STAR WEB BROWSER
- PC Browser Mini
- RSD Browser
- WeBuddy Browser
- IB8 BROWSER - India Browser 8
- bTown video,serials & browser
Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.



Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces

Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.


Saludos!