Miles de Tarjetas Bip! o Analizando la Tarjeta Bip!

Supe gracias a Internet que Metro de Santiago activó una campaña publicitaria con el objetivo de enseñar buenos hábitos en los usuarios del sistema de transporte público Transantiago, mientras que, al mismo tiempo, por osmosis, denuncian los arquetipos de santiaguinos más indeseados de la capital. Me parece ridículo; es una medida que, a todas luces, tratará infructuosa y erróneamente de remediar los efectos de un sistema mal pensado, y no sus causas… ¿De qué sirve apuntar con el dedo a esa persona que corre a sentarse en cuanto se abren las puertas del vagón, si éste, de una u otra manera, terminará atestado de gente, con vendedores ambulantes de dobladitas con queso, mientras oyes la voz del conductor hipócrita por alto parlante: “(…) Metro de Santiago agradece su preferencia (…)”?

¿Qué ocurre con la falta de seguridad, la ausencia de baños, y esa lista interminable de faltas como la limpieza, por ejemplo? Palomas literalmente pintando de blanco el andén con su mierda, estaciones inundadas en invierno, ratones en la vía férrea y un gran número de personas dejando su comprobante de carga en el mesón o tirándolo al suelo…

Números, números, y más números

Fue así que decidí recolectar comprobantes de pago con alma ecológica, hasta que empecé a cuestionarlos: ¿qué información podría obtener de ellos? ¿Existe un patrón X? ¿Datos personales? ¿El origen de la vida? Lo primero que advertí es que no son todos los comprobantes iguales e incluyen información clave de atención al usuario como el número de la operación, del cajero y de la terminal de ventas:

Comprobantes de Carga Tarjeta Bip! Transantiago

Pero no sólo esos números llamaron mi atención, y me hice las mismas preguntas que tal vez te surgieron a ti ahora: ¿cuántas tarjetas Bip! existen y están activas? ¿Existe correlación numérica para los digitos de N° de chip o N° de tarjeta? ¿Qué uso tienen o les podemos dar?

Si las numeraciones de las tarjetas Bip!, en teoría (basados en los comprobantes de pago que recolecté), se componen de 8 digitos y queremos conocer un total especulativo de numeraciones, tenemos que saber cuál es la primera numeración asignada, así que consulté el saldo del N° de tarjeta Bip! 00000001:

Tarjeta Bip! Transantiago N° 00000001

La N° de tarjeta arrojó el estado de no disponible para carga y con saldo $0. Entonces probé con las siguientes numeraciones hasta llegar al N° de tarjeta Bip! 00000004:

Tarjeta Bip! Transantiago N° 00000004

El N° de tarjeta Bip! 00000004 no se puede cargar pero figura con un saldo disponible de $1,700 desde el 8 de Octubre del año 2003. Curioso, pero ya tenemos, al parecer, el N° de tarjeta Bip! que por primera vez tuvo saldo, y comprobamos que sí, efectivamente, existe una correlación numérica en las tarjetas.

Miles de Tarjetas Bip!

Para comprobar la correlación numérica de 8 digitos, realicé todas las combinaciones posibles de 8 cifras por bloque (bloques de numeración que comienzan por “1”, “2”, “3”, y bloques que tienen menos de 8 digitos, ya que las numeraciones han sido asignadas de esta manera, tal vez por las cantidades de tarjetas que se producen y asocian a números de chip concretos)… Con la ayuda de excel online y fórmulas, logré obtener miles de posibles números de tarjetas Bip!:

Númeración de Tarjetas Bip! Transantiago

Para comprobar las numeraciones tomé varias de ellas al azar y consulté su saldo. En este caso, la numeración 8780415, correspondiente a la celda B5 de la captura:

Tarjeta Bip! Transantiago N° 8780415

¡Tarjeta válida! Saldo disponible de $5,780, con fecha 10/03/2016. Pero, vaya, es una numeración de 7 digitos (olvidé que había mezclado los bloques numéricos y ordenado de mayor a menor algunas de las columnas en el excel). Probé con otra numeración, ahora de 8 digitos; 11157916, celda A7: ¡tarjeta válida!

Tarjeta Bip! Transantiago N° 11157916

El % de error es bastante bajo, así que me vi frente a miles de posibles numeraciones de tarjetas Bip! ¿Y ahora qué? ¿De qué me sirve conocer la numeración, el saldo y la validez de miles de tarjetas Bip!? En ese momento percaté que se puede generar un random o especie de fuzzing por método GET, a través de la siguiente URL de la página de cargas de Metro de Santiago, y tomar masivamente todos los datos de estas miles de numeraciones:

http://www.metrosantiago.cl/contents/guia-viajero/includes/consultarTarjeta/11157916

Tarjeta Bip! Transantiago Random o Fuzzing

¿Quién eres, a qué te dedicas, dónde vives o has estado?

Quedé abrumado por esta información ya que al tratarse de miles de numeraciones, las posibilidades para procesar estos datos son muchas: si eres mal intencionado puedes hacer un leak de todas las numeraciones, utilizarlas como datos cuantitativos o cualitativos para diferentes fines, y todo lo que la imaginación nos permite hacer. Sin embargo, utilizando sólo herramientas libres y públicas, y las miles de numeraciones generadas sin acceso a la base de datos de Transantiago y Metro, podemos tratar de determinar quién es el dueño de la tarjeta, a qué se dedica, dónde vive y dónde ha estado durante ciertos rangos de tiempo (horas, días, semanas y meses). En el caso de la tarjeta Bip! con numeración de siete digitos 8780415, del ejemplo anterior, obtenemos el siguiente historial:

Historial de Tarjeta Bip! Transantiago N° 8780415

Tomando el día 22 de Febrero de 2016, sabemos que el usuario de la tarjeta cargó un saldo de $4,000 a las 12:17 pm en Avenida Alfredo Silva Carvallo N° 1401, en la comuna de Maipú. Luego, usó su tarjeta 22 minutos después, en el validador de la micro con patente BJFB-22, N° de recorrido T506. Con esta data y gracias a Google y el fotógrado Ariel Cruz, sabemos ahora que el usuario se subió a un troncal del Transantiago a las 12:39 pm, en la intersección de calle Hernán Olguín y Avenida Alfredo Silva Carvallo: https://goo.gl/maps/WLwnZ4bjzBm

Intersección calle Hernán Olguín con Avenida Alfredo Silva Carvallo en la comuna de Maipú

Troncal Recorrido 506 Transantiago

Fotografía de Ariel Cruz: https://www.flickr.com/photos/empezardecero/6332321199

¿Por qué el usuario se subió al troncal en dicha intersección? Por la sencilla razón de que es el paradero más cercano al Servipag en donde realizó la carga de su tarjeta. Esto significa que la micro demoró 20 minutos en pasar por el paradero, o que el usuario estuvo 20 minutos de compras al interior del supermercado Unimarc.

Ahora bien, ¿por qué no hay más historial del usuario en ese día y sólo hay un nuevo historial el 1o de Marzo de 2016? Posiblemente regresó en automóvil la tarde del 22 de Febrero de 2016, y en base al historial previo, en donde vemos una constante de uso de la tarjeta en los horarios de las 10:00 am y las 13:30 pm, y parcialmente similares rangos de tiempo por la tarde, que concuerdan con los horarios de entrada y salida de muchas escuelas en Chile, existe una alta probabilidad de que la señora y la niña sentadas en la banca del paradero en cuestión, sean las personas de las que hemos estado hablando (si no lo son, cumplen con el perfil); en todo caso, queda al barrunto de cualquiera.

TNE (Tarjeta Nacional Estudiantil) aka Pase Escolar

Luego de entender un poco más para que podríamos utilizar las numeraciones de estas miles de tarjetas Bip!, ¿y el pase escolar? ¿Tendría las mismas características? ¿De dónde obtendría una TNE o Pase Escolar 2016 válido? Pues bueno, con la ayuda de Google:

Pase Escolar 2016

Esta imagen es tomada del conocido periódico online soychile.cl: http://www.soychile.cl/Concepcion/Sociedad/2016/02/23/377130/Cerca-de-18-mil-estudiantes-del-Biobio-recibiran-el-pase-escolar-en-las-proximas-semanas.aspx

Pase Escolar 2016

Así, me fui a consultar el saldo y la vigencia de la Tarjeta Nacional Estudiantil (TNE) de la señorita en la fotografía:

Pase Escolar 2016

Si realizamos los mismos ejercicios anteriores para la generación masiva de numeración de tarjetas y validación, obtendremos, nuevamente, una buena cantidad de numeraciones de TNE o Pases Escolares:

Pase Escolar 2016

Pase Escolar 2016

Celda M33 del excel, numeración 83268597 de tarjeta TNE o Pase Escolar válido. Ahora bien, con la finalidad de certificar aún más esto, gracias al pase escolar que una persona conocida me facilitó, pude constantar que el bloque de numeraciones correspondiente a los iniciados en “7”, también son de los pases escolares.

Cuenta RUT Banco Estado

Sin ir más allá, las numeraciones de las tarjetas Cuenta RUT de Banco Estado, también obedecen a la misma correlación numérica. La generación la hice con el bloque asociado a los que inician con “5”.

¿Cómo explotar vulnerabilidades RFID y otros?

Con la finalidad de sugerirte ideas de estudio respecto de esto, adjunto documento de Marcelo Rocha, el cual será presentado en el MeetUp PROIN de Programadores.cl

 TNEBIP.py, el script de s1kr10s

Son pocos los desarrolladores chilenos especialistas en seguridad que dedican tiempo a crear aplicaciones para explotación. Yo no soy desarrollador, pese a que últimamente le he dedicado más tiempo a la programación del que debo asignarle; aunque bueno, ese ya es otro tema…

En ese camino, hay profesionales de la seguridad que demuestran con hechos su expertise de manera particular, yendo mucho más allá de crear un scanner para WordPress (risas); son éstos los developers a los cuales se les debe temer, pues finalmente terminan creando exploits como el famoso BlackHole.

El chileno s1kr10s, nos muestra sus skills con TNEBIP.py, un script en Python que explota la obtención de información privada de la tarjeta TNE BIP!, más conocido como pase escolar. TNEBIP.py está disponible para su descarga en el siguiente repositorio de Github, y es relativamente fácil de usar.

Para probar su funcionamiento necesitaremos el RUN (mal llamado RUT) de algún chileno o chilena que esté cursando estudios escolares, medios, técnico o universitarios. Para estos fines, en esta ocasión, contamos con el gentil auspicio de la Universidad Andrés Bello UNAB, la cual ha filtrado generosamente en Google los RUN de cientos de sus alumnos través de archivos excel que puedes ver, por ejemplo, en la siguiente URL: https://www.google.cl/#q=unab.cl+xls+rut

RUN Alumonos UNAB Universidad Andrés Bello

Como pueden ver, a diferencia de muchos paranoicos de la seguridad, muchas veces, no es necesario usar “dorks” para lograr dar con información “interesante”…

Volviendo a lo nuestro, descargamos entonces TNEBIP.py de su repositorio, y lo ejecutamos (por supuesto, teniendo instalado previamente Python) seleccionando al azar un RUN del archivo excel, en este caso, el RUN 7.769.727-6, y vemos cómo nos entrega el N° de la TNE asociado al RUN:

TNEBIP.py Pase Escolar TNE Chile

Si quedaste con dudas, te dejo un pequeño vídeo que ejemplifica cómo usar TNEBIP.py:

¡Conclusiones!

Por favor, no botes el comprobante de pago de tu Tarjeta BIP!, en primer lugar, porque es mala educación, y porque en base a él cualquier persona, común y corriente, podrá hacer un historial de dónde vives, has estado, o qué haces en tu rutina diaria. Si no quieres perder tu privacidad, por favor, ¡no seas sucio!

No publiques en ningún lugar fotografías de tu Cédula de Identidad (RUT, RUN, etc), Pase Escolar, Permiso de Circulación, etc., porque es relativamente fácil procesar tu información gracias a las diversas herramientas online que existen hoy en día.

¡Este pequeño análisis puede hacerlo cualquiera! Sin embargo, ¿qué ocurre si llevamos este tipo de análisis a planos directamente relacionados, como por ejemplo, la clonación de tarjetas y RFID? Lo dejo a tu imaginación.

Municipalidad de Huechuraba: ¡Apaguen el servidor!

Tras buscar datos acerca del Permiso de Circulación, advertí que uno de los servidores web de la Municipalidad de Huechuraba muestra la conocida alerta “Sitio posiblemente pirateado” en Google:

Municipalidad de Huechuraba, "Sitio posiblemente pirateado".

Bueno, lo guardé y seguí trabajando. Cada cosa a su tiempo.

Días después, tras recordar esto, decidí revisarlo con la finalidad de comprobar si realmente era un “Sitio posiblemente pirateado”, desde cuándo, cómo y hasta qué punto. Los resultados fueron más que interesantes.

Intrusión al Servidor Web & Publicidad Spam

Lo primero que llamó mi atención, fue el hecho de que tienen diversas directorios conteniendo archivos HTML con publicidad Spam, en japonés e inglés:

Municipalidad de Huechuraba Hacked

Municipalidad de Huechuraba Hacked

Municipalidad de Huechuraba Hacked

Efectivamente, fueron vulnerados. Incluso, el o los atacantes, añadieron archivos sitemap con la finalidad de habilitar una mejor y más rápida indexación de los motores de búsqueda:

Municipalidad de Huechuraba Hacked Archivos Sitemap

Municipalidad de Huechuraba Hacked Archivos Sitemap

¿Cómo los atacantes lograron esto y por qué razón no han realizado un defacement o eliminado completamente el sitio web del servidor? Responderé de inmediato a la última pregunta, porque siempre lo digo: un cracker que busca beneficios de algún tipo, no hace defacing y explota todas las posibilidades que un servidor web comprometido ofrece. Esa es la verdad. Ahí es dónde actúan crackers y carders, entre otros (haciendo un paréntesis, he sido testigo de cómo grupos hacktivistas y miembros de estos grupos actuando de manera independiente, atacan a crackers y carders, porque pienso igual que ellos: no me gustaría que robaran las tarjetas de crédito de algún amigo, familiar o ser querido. Los hacktivistas piensan de otra manera… Fin del paréntesis).

Ataques de Ingeniería Social & Fugas de Información

Antes de responder a la primera pregunta enunciada arriba, es necesario plantear otra y hacer hincapié, como siempre, en la amada Ingeniería Social, que se alimenta de la creatividad y las capacidades intelectuales del atacante y los alicientes que el target entrega. ¿Cómo podemos, entonces, realizar un ataque global de Ingeniería Social para robar usuarios y contraseñas de correos electrónicos de la Municipalidad de Huechuraba, propagar malware espía en sus computadoras e intentar tomar el control de la red para robar y editar información a distancia sin ser detectados?

La Municipalidad de Huechuraba ha estado filtrando información interna y gravemente frágil a través de su Intranet. Si es una Intranet, ¿por qué está publicada en Google es de acceso público?

Intranet privada con acceso público desde Google de la Municipalidad de Huechuraba

Intranet privada con acceso público desde Google de la Municipalidad de Huechuraba

Lo más delicado de todo esto, es que Google evidencia la fragilidad de estas malas prácticas en Chile, sugiriendo automáticamente búsquedas de otras aplicaciones web Intranet en el país:

Intranet de municipalidades de Chile sugeridas por Google

Volviendo a la Municipalidad de Huechuraba, veamos cuál es el nivel de las fugas de información interna que han provocado a causa de la publicación de su Intranet en Google.

Nombres, teléfonos, email, departamentos de los empleados & Contraseñas

No sólo han publicado su Intranet dejándola con acceso público, sino que además es posible obtener información detallada de los empleados, con una letra:

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Generación de Órdenes de Trabajo & Supervisión Comunal (suplantación del alcalde Carlos Cuadrado Prats)

Ahora que tenemos los nombres completos, los teléfonos, las direcciones de email y sabemos en qué departamento trabaja cada una de estas personas, podemos generar órdenes de trabajo y de supervisión comunal, haciéndonos pasar por cualquiera de sus empleados, o suplantando al alcalde.

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Obviamente, la solicitud a nombre de Carlos Cuadrado Prats no fue generada. No sean malulos.

Como si fuera poco suplantar al alcalde de la Municipalidad de Huechuraba (Carlos Cuadrado Prats), podemos, además, consultar todas las órdenes de trabajo y solicitudes de supervisión, en las cuales son publicadas incluso, cambios de usuarios y contraseñas de administradores de dominios web:

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Intranet Municipalidad de Huechuraba: fugas de información y ataques de Ingenieria Social

Modificación Datos de la Municipalidad de Huechuraba

Esto no ha terminado. ¿Qué tal si te digo que puedes modificar diversos datos internos de la municipalidad a través de la Intranet, tales como inventario, permiso de circulación, y otros más?

Intranet Municipalidad de Huechuraba: edición y cambio de datos municapales internos

Intranet Municipalidad de Huechuraba: edición y cambio de datos municapales internos

Upload de Archivos

Ahora sí trataré de responder a la más grande inquietud: ¿cómo los atacantes lograron ingresar al servidor y manipularlo a su antojo para obtener toda clase de beneficios? Mientras revisaba todo lo anterior, decidí buscar alguna shell web, cuando de pronto, me vi frente a algo bastante extraño en Google:

Municipalidad de Huechuraba Hacked: upload arbitrario de archivos

Municipalidad de Huechuraba Hacked: upload arbitrario de archivos

No hallé la shell web de los intrusos, pero sí un flamante y suculento upload PHP que, de manera irrestricta, permitiría subir al servidor web toda clase de archivos. Esta es, claramente, una posible puerta de entrada.

Inyección de SQL

Tras todo lo anterior, ya cualquier cosa sería posible. ¿SQL Injection? Sí, señores. Al realizar una pequeña, simple y básica consulta, es posible obtener todas las bases de datos alojadas en el servidor, consultarlas, exportarlas, y hacer con ellas lo que nos plazca, si fuéramos malintencionados, por supuesto. No exporté ni edité nada porque no es legal, y tampoco publicaré la URL vulnerable o el tipo de inyección, con el objetivo de dar tiempo a la Municipalidad de Huechuraba para que arreglen estos graves desperfectos en sus sistemas. Todos sabemos que, con esta vulnerabilidad, es posible robar toda la información contenida en las bases de datos, incluyendo los usuarios y las contraseñas de acceso a las diversas aplicaciones web de la Municipalidad de Huechuraba:

Municipalidad de Huechuraba Hacked: SQL Injection o Inyección de SQL

Robo de Contraseñas, propagación de Malware & Control de la Red: Apocalipsis

Trataré de explicar las consecuencias de todas estas vulnerabilidades:

Vamos, piensen como crackers. ¿Listo? Ahora que tenemos todos los datos de los empleados de la Municipalidad de Huechuraba, acceso irrestricto a sus aplicaciones web para suplantar a todos los empleados incluyendo al mismísimo alcalde, y sabemos cómo ingresar al servidor para tomar control de éste y robar las bases de datos, podemos realizar lo siguiente:

Primera posibilidad,

  1. Ideamos un concepto como “Nuevo Acceso web Obligatorio de la Municipalidad”; “(…) El acceso es obligatorio con su email y contraseña de la Municipalidad (…)”
  2. Diseñamos un hoax que gráficamente utilice el look and feel de la Municipalidad de Huechuraba.
  3. Ingresamos al servidor y creamos un directorio o archivo web de las mismas características.
  4. Enviamos el hoax a todos los empleados de la Municipalidad de Huechuraba, y como sabemos en qué departamentos trabajan, el hoax no lo enviamos a nadie que tenga relación con informática.
  5. Las víctimas ingresan a la aplicación, y con esto obtenemos acceso a los correos electrónicos de la municipalidad.
  6. Si crees en las conspiraciones, podríamos matar el tiempo buscándolas en el inbox, o en las carpetas de enviados o trash de cada cuenta de email.
  7. Toda está limitado por la imaginación.

Segunda posibilidad,

  1. Ideamos otro concepto: “Aplicación Obligatoria de Seguridad de la Municipalidad de Huechuraba”; “(…) Todos los empleados de la municipalidad deben instalarlo a la brevedad, o sus correos electrónicos y la conexión a Internet sufrirá problemas (…)”.
  2. Repetimos los procesos 2, 3 y 4 del Primer Acto.
  3. Las víctimas instalan el malware en sus computadoras, logrando con esto control de la red.
  4. Si tienes complejo de Robin Hood, puedes editar desde tu terminal botnet los sueldos de los empleados, para que ganen menos dinero, o para que ganen más, todo depende de ti.
  5. Toda estará limitado por las capacidades y características de tu botnet.

Tercera posibilidad,

  1. Repites los actos 1 y 2.
  2. Publicas todo en Google.
  3. Eliminas el sitio web de la Municipalidad.
  4. Ordenas a tu red botnet municipal alguno de estos dos comandos: #blockdevice (si es randsomware) #killdevice (si eres un maldito descriteriado)
  5. Eliminas todo tipo de rastro al estilo Mr. Robot.

Última y real posibilidad,

Dejas de pensar como cracker y sigues leyendo.

La guinda de la torta (una de las cosas más graves)

Cuando daba por terminada mi pequeña y rápida investigación usando nada más que Google principalmente, decidí realizar una clase de ejercicio que me permitió advertir algo descomunal: los atacantes dejaron backdoors de una manera bastante audaz, accesibles de la forma menos esperada.

Lamentablemente, no puedo publicarlo…

Conclusiones

Mi humilde y más profesional consejo a la Municipalidad de Huechuraba: ¡apaguen el servidor!

Gracias a esta indagación sencilla y fugaz, logré responder a todas las preguntas que me plantié: desde cuándo, cómo y hasta qué punto uno de los servidores web de la Municipalidad de Huechuraba es un “Sitio posiblemente pirateado”; logramos saber de qué manera los atacantes ingresaron al servidor, qué hicieron y cómo son capaces de volver a ingresar, todo gracias a Google.

Ahora bien, me gustaría plantear una última inquietud: ¿qué detectó el o los algoritmos de Google para catalogar a la Municipalidad de Huechuraba como un sitio web pirateado y añadirles la alerta de seguridad en los SERP?

Jamás lo sabremos a ciencia cierta; podemos especular miles de teorías, comparar este estudio con el funcionamiento parcial de los algoritmos de Google, pero nadie conoce los algoritmos de Google, ¿o sí?

Estos problemas ya fueron notificados a la Municipalidad de Huechuraba con la finalidad de que los arreglen rápidamente.

Seguridad, Ciberdefensa y ciberguerra en Chile

Hace unas semanas atrás, a la hora de almuerzo, mientras estaba de visita en casa de un amigo, mostraron en el noticiario una expo o feria de ciencia y tecnología del Ejército de Chile que estaba enfocada a generar cercanía en los jóvenes (o algo así)… Advertí que después de drones y cosas por el estilo, la seguridad informática para el área de la ciberguerra no estuvo presente, y si lo hizo, estuvo bastante escondida…

Cursos, seminarios y otros

Públicamente, las fuerzas armadas no han comunicado una real postura sobre seguridad informática y/o ciberguerra frente a la ciudadanía; pinceladas de esto se dejan ver tan sólo en algunos artículos muy difíciles de encontrar, poco técnicos, a grosso modo, y dirigidos a miembros de estas instituciones.

El año 2013 el Ejército de Chile impartió tres cursos similares y en paralelo sobre seguridad informática (a través de la ESCINT -Escuela de Inteligencia-): Curso de Inteligencia Militar, con mención en seguridad informática, Seguridad Militar, “Seguridad Informática” y el Curso de Seguridad Informática. ¿Quiénes impartieron estos cursos y qué nivel de acierto tuvieron?

El año 2014, la ANEPE (Academia Nacional de Estudios Políticos y Estratégicos), impartió el seminario “Ciberseguridad y Ciberguerra”. Por las fotografías del evento podemos ver que fue bastante masivo (mucha gente de pie sin tener dónde sentarse), y por las caras jóvenes de sus asistentes (no mayores de 30 años), podemos advertir que dicho seminario estuvo dirigido a quienes día a día se dedican a administrar y asegurar las plataformas, redes, aplicaciones y sistemas del gobierno y las fuerzas armadas (sarcasmo):

ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014
ANEPE Seminario Ciberseguridad & Ciberguerra 2014

¿Buenas inversiones?

Según publicaron diversos medios de comunicación, la Policía de Investigaciones de Chile (PDI) invirtió casi 3 millones de dólares en la compra de un malware espía con características de botnet, a la empresa italiana Hacking Team (Galileo, rebautizado como “Phantom”). Es de público conocimiento que esta empresa fue objeto de una filtración de emails, documentos y código fuente de su malware.

Incluso, instituciones como Carabineros de Chile y el Ejército de Chile estaban interesados en la compra del mismo malware, tal como evidencian los correos electrónicos filtrados en Wikileaks.

La pregunta es, así como se demuestra más abajo que se han perpetrado varios ataques a instituciones de las fuerzas armadas, y aún siguen siendo vulnerables, ¿tendrán la capacidad técnica de utilizar y propagar este malware o botnet de la manera más eficiente, si no son capaces de asegurar ni siquiera sus servidores y aplicaciones web? ¿Quien audita la utilización eficiente de esta botnet institucional? Ojo, esto no es una diatriba, sólo pongo en tela de juicio el hecho de que si son capaces de hacer deporte sólo una vez por semana, ¿tendrán la capacidad física de hacer deportes olímpicos todos los días?

¿Política Gubernamental o de Estado?

Desde la ignorancia, como un ciudadano más, común y corriente: ¿existe un programa o una política de Estado que se ocupa de la seguridad informática de nuestro país y de la ciberguerra, que de manera estratégica, seleccione, capacite y ponga en práctica a las personas idóneas para estos menesteres? Obviamente, tiene que ser una política de Estado, no algo pasajero y antojadizo del gobierno de turno.

En los discursos presidenciales del 21 de Mayo, sólo hay registro de menciones sobre seguridad informática y ciberguerra en los años 2014-2015. ¿Qué pasó en los gobiernos anteriores?

21 de mayo de 2014: “(…) Se integrarán los medios de vigilancia, exploración y reconocimiento institucionales, a través de un sistema militar integrado que permita determinar diferentes escenarios de alarma para protección de la fuerza como otros fines considerando las capacidades incorporadas y áreas tecnológicas: guerra electrónica, inteligencia, vigilancia y reconocimiento, ISR, vehículo aéreo no tripulado —UAV y satélite—, análisis de inteligencia y ciberguerra (…)”.

21 de mayo de 2015: “(…) Dentro de las políticas sectoriales específicas, se inició la formulación de la Política de Ciberseguridad para el Ministerio de Defensa Nacional. Con este objetivo, se dio inicio a los estudios entre organismos sectoriales para concordar definiciones de los términos básicos que permitan, en una segunda etapa, debatir y proponer una política en este tema para el ministerio. Esta política tendrá como propósito, además de establecer orientaciones y guías para brindar protección y seguridad al entorno informático del ministerio, a sus equipos y a sus redes asociadas, poseer una base para insertar y coordinar la ciberseguridad sectorial con la política del Estado en esta materia (…)”

ISSA Chile*

Desde el capítulo chileno de Information Systems Security Association (ISSA), sin tapujos, lacónica y precisamente, hablan acerca de la “necesidad de una política de ciber seguridad en Chile”, acertando en 3 puntos importantes:

  1. Operatividad y logística: “(…) Existen malos antecedentes al respecto, por ejemplo, debido al terremoto del 27 de Febrero de 2010, gran parte de Chile quedó incomunicado debido a la caída de líneas telefónicas y celulares, con consecuencias inesperadas como que ni siquiera existiera un piloto de la Fuerza Aérea disponible para movilizar a la presidente a la zona de catástrofe, siendo la Policía de Investigaciones (PDI) quién se encargó de llevar a cabo tal tarea (…)”
  2. Fuerzas armadas: “(…) Otro mal ejemplo resulta el doble defacement realizado por LulzSecPeru sobre los dominios del Ejército de Chile, durante Enero de 2013. Este evento ha dejado al descubierto la falta de conocimiento de aquellos encargados de resguardar la seguridad de la sociedad chilena ante ataques, en este caso podemos hablar de ciber ataques que podrían afectar a Infraestructuras Críticas, casos de Ciber Terrorismo o la total indefensión ante una declaración de Ciber Guerra de algún país en conflicto. Este caso es llamativo debido a que se intentaron securizar los sistemas, licitando la realización de un servicio de Ethical Hacking adjudicado, por un valor de $ 2.720.700 pesos, a un proveedor local que habría realizado el servicio de forma deficiente, exponiendo la seguridad de los sistemas del Ejército de Chile, donde sin duda la mayor responsabilidad recae sobre esta institución que debería contar con personal especializado siquiera para la adquisición de los servicios que garanticen la seguridad de su infraestructura digital (…)”
  3. Seguridad nacional: “(…) Por otra parte, la actual Agencia Nacional de Inteligencia (ANI), se ha mostrado incapacitada para anticiparse a los ataques o permitir el resguardo del espacio digital ante un ataque masivo y coordinado a alguno o varios de los sectores considerados como Infraestructuras Críticas. Estamos ante un escenario en donde nadie se ha hecho cargo de mitigar las ciber amenazas que deberemos enfrentar como país durante los próximos años, lo que podría detonar condiciones críticas para la estabilidad del Estado (…)”

Comité Interministerial sobre Ciberseguridad

¿Promesa cumplida? El 27 de abril de 2015 se promulgó el Decreto 533 que crea el Comité Interministerial sobre Ciberseguridad: http://bcn.cl/1rra5

Pero, ¿cada cuánto tiempo se reúnen y en qué nivel de discusión y praxis ha avanzado el comité? De conocimiento público se sabe que la segunda y “última” reunión del comité fue el día 14 de mayo de 2015.

Historial de ataques

¿Cuánto presupuesto destinan las fuerzas armadas para cuestiones de ciberguerra? ¿Qué compañía chilena o extranjera audita sus sistemas informáticos y cada cuánto tiempo? ¿Cuál es el nivel de experiencia y de capacitación que nuestras vanagloriadas fuerzas armadas tienen respecto de otros países?

Me cuestiono esto porque aunque no les guste recordar, las fuerzas armadas y los ministerios relacionados a defensa han sido atacados y vulnerados en reiteradas ocasiones…

Carabineros de Chile, Ataque DDoS

Carabineros de Chile, sufriendo con la arma más conocida de Anonymous en el año 2011.

Ataque DDoS Carabineros de Chile
Ataque DDoS Carabineros de Chile

Ejército de Chile, XSS

Mirror en Zone H de una inyección de Javascript.

http://zone-h.org/mirror/id/17975790

Carabineros de Chile, inyección de HTML

 

Carabineros de Chile hackeados por Anonymous Chile (XSS)
Carabineros de Chile hackeados por Anonymous Chile (XSS)

Ejército de Chile, defacement

Ataque realizado por el grupo Lulz Security Perú.

 

Carabineros de Chile, SQLi dump

Leak de base de datos SQL del servidor web de Carabineros de Chile.

Carabineros de Chile hackeados (SQL dump)
Carabineros de Chile hackeados (SQL dump)

Policía de Investigaciones PDI, SQLi dump

 Leak de base de datos SQL del servidor web de la Policía de Investigaciones PDI.

Policia de investigaciones de Chile PDI hackeados (SQL dump)
Policia de investigaciones de Chile PDI hackeados (SQL dump)

Escuela de Suboficiales del Ejército, defacement

Mirror en Zone H de ataque realizado por el grupo LUlz Security Perú.

http://www.zone-h.org/mirror/id/18998687

Corrida Glorias del Ejército, defacement

Vídeo de ataque realizado por Anonymous Chile.

Leak e-mails de la Fuerza Aérea de Chile

Hackeo y filtración de correos electrónicos de la Fuerza Aérea de Chile, realizado por el grupo Lulz Security Perú.

Ministerio de Defensa, defacement

Vídeo y captura de pantalla de ataque realizado por un grupo simpatizante a ISIS.

Ministerio de Defensa de Chile hackeado
Ministerio de Defensa de Chile hackeado

¿Qué tan vulnerables somos?

Hoy en día, a punto de terminar el 2015, ¿qué nivel de resguardo o de seguridad ya han implementado las fuerzas armadas respecto de todos los ataques que han sufrido? ¿Han realizado auditorías de seguridad o simulaciones de ataque que les permitan advertir sus fallas, corregirlas, fortalecer los aspectos débiles, y mantener o mejorar las áreas en que ya han obtenido un nivel de acierto?

Motivado por todo el historial de ataques informáticos y por las temas de más arriba, decidí buscar información pública y al azar, basado en los servidores y las aplicaciones web de estas entidades. Todo lo que encontré es alarmante desde el punto de vista de la seguridad nacional, ya que no es posible que existan aún fallas de seguridad informática que permitan a un país extranjero o a un grupo de atacantes cualquiera, preparar y llevar a cabo un ataque de gran envergadura…

Academia de Guerra del Ejército

Los atacantes tuvieron acceso completo al CMS de la Academia de Guerra del Ejército, por lo que es altamente probable que dicho servidor y aplicación web continúen siendo vulneradas (backdoor, etc), al punto de que controlar todo el servidor (exploit a nivel de servidor).

ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado
ACAGUE Academia de Guerra del Ejército de Chile hackeado

Comando de Bienestar del Ejército

En el caso del Comando de Bienestar del Ejército, vemos cómo expusieron un upload arbitrario de archivos que permitía subir al servidor en los path’s /UserFiles/file/, /UserFiles/file/shop/ y /UserFiles/, archivos HTML que redireccionan a páginas web de spammers y scammers para la venta de productos de diveras marcas.

Lo que me parece notable, es el hecho de que cuando un atacante logra realizar un bypass de upload, las cosas cambian notablemente, por lo que es posible subir web shells o instalar exploits en el servidor que posteriormente permitan acceder nuevamente aunque hayan cambiado toda la aplicación web por una nueva.

Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado
Comando de Bienestar del Ejército de Chile hackeado

SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile

La gente tiende a pensar que en “cosas de seguridad informática” se trata del CMS, si es Joomla! o WordPress o un custom CMS; lo saco a colación porque el CMS da absolutamente lo mismo, todo depende de quién lo administra y de qué manera. La aplicación del SAF (servicio Aerofotogramétrico de la Fuerza Aérea) es Joomla!, pero las que vimos más arriba, una es WordPress, mientras que la otra, al parecer, era Drupal.

De esta manera, vemos acá cómo, independiente del CMS que se utilce, los atacantes tuvieron acceso irrestricto al CMS publicando contenido spam, por lo que existe una alta probabilidad de que hayan subido una consola PHP a través de un template o plugin, y ya cuenten con el control total del servidor web.

SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile hackeados
SAF Servicio Aerofotogramétrico de la Fuerza Aérea de Chile hackeados

Academia Politécnica Naval

La conocida APOLINAV de la Armada de Chile, a través de sus aplicaciones web para e-learning, permiten la vista de los cursos que imparten y por este medio están filtrando los nombres completos de sus alumnos y profesores.

Esta fuga de información interna es miel para data minning, ya que a través de ella se pueden tramar diversos tipos de ataques de ingeniería social. “Profesor, adjunto el archivo que solicitó”…

APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información
APOLINAV Academia Politécnica Naval permisos de vista y fuga de información

Mutualidad del Ejército y la Aviación

La página web de la Mutualidad del Ejército y la Aviación, como pocos (a diferencia de la mayoría de los sitios web de las fuerzas armadas), usa certificado SSL. Lamentablemente, su ambiente de uso es objeto de ataque a través de estos 4 aspectos:

  1. BEAST
  2. SSLv3
  3. TLS1.0
  4. Poodle

Sí, es vulnerable a ataques Poodle, y no sólo eso, sino que además es posible forzar el uso de TLS1.0 a través de un ataque BEAST, por lo que en este caso particular, un atacante tendría 100% de éxito al realizar un ataque MITM.

SSL vulnerable de la Mutualidad del Ejército y la Aviación de Chile
SSL vulnerable de la Mutualidad del Ejército y la Aviación de Chile

También es altamente probable que, a causa de BEAST, tanto Mozilla FireFox como Google Chrome bloqueen el acceso a esta web por no cumplir con las actualizaciones de las librerías NSS de cada navegador.

Por otro lado, la página web solicita una contraseña de acceso, lo cual me parece bastante extraño…

Mutualidad del Ejército y la Aviación de Chile con SSL vulnerable
Mutualidad del Ejército y la Aviación de Chile con SSL vulnerable

Instituto Geográfico Militar

Al igual que la mutualidad, el Instituto Geográfico Militar usa certificado SSL pero, es vulnerable a ataques BEAST* que podrían forzar el uso de TLS1.0

SSL vulnerable del Instituto Geográfico Militar de Chile a ataque BEAST
SSL vulnerable del Instituto Geográfico Militar de Chile a ataque BEAST

Fuerza Aérea de Chile

Fuerza Aérea de Chile FACH vulnerable a inyección de HTML & Javascript
Fuerza Aérea de Chile FACH vulnerable a inyección de HTML & Javascript

Hospital de Carabineros de Chile

Hospital DIPRECA Carabineros de Chile vulnerable a inyección de HTML & Javascript
Hospital DIPRECA Carabineros de Chile vulnerable a inyección de HTML & Javascript

Dirección de Previsión de Carabineros de Chile

DIPRECA previsión de Carabineros de Chile vulnerable a inyección de HTML & Javascript
DIPRECA previsión de Carabineros de Chile vulnerable a inyección de HTML & Javascript

¡Sorpresa!

En este punto ya estaba un poco cansado y además sorprendido por el hecho de encontrar bastantes vulnerabilidades públicas y registros de ataques a las instituciones de las fuerzas armadas, hasta que… ¡Diantres! Detecté vulnerabilidades críticas del mismo tipo en varios departamentos distintos de estas instituciones, que eventualmente estarían exponiendo el control total de cada uno de estos servidores web. Lamentablemente, son vulnerabilidades críticas que no se pueden comprobar por falta de autorización; y para no infringir ninguna ley, por supuesto. Así que hasta aquí llegamos.

¿Querrán tener esta información o esperarán a que aparezca alguien con malas intensiones para actuar sobre la marcha de los errores, tal como se acostumbra en Chile? Estoy dispuesto a entregar todo, pero de manera seria. ¿Esa es la idea no?, ayudar de alguna manera y no criticar tanto…

Cómo robar un banco y ser millonario (carding nivel Dios)

Este 2015 proliferaron los noticias acerca de fallas informáticas de gran envergadura, ciberguerra, leaks… ¿Qué sucederá antes del 31 de diciembre? Una de las cosas positivas que rescato es la iniciativa Let’s Encrypt, y la movida de Google y Mozilla de apostar por “un SSL en todas partes” y comenzar a bloquear sitios web que usan certificados SSL con cifrados poco robustos o derechamente ya no válidos.

En Chile, una de las cosas negativas que me gustaría destacar (o positivas, según el cristal con que se mira), es el atraco digital al Banco BCI: ni más ni menos que el robo de $1,000 millones de pesos, según informaron diversos medios de comunicación, en donde se vieron involucradas la SOFOFA, DHL y otras instituciones y compañías.

La cifra en miles y como acontecimiento, es comparable con el mega robo a una treintena de bancos en todo el mundo que fue desvelada por Kaspersky en febrero de 2015, en el que robaron USD $1,000 millones. Lo metodología no es comparable, porque estos crackers bancarios robaron los mil millones de dólares con ayuda de malware, una botnet bancaria creo; mientras que los chilenos tuvieron acceso irrestricto al banco.

En cierta oportunidad hablé acerca de vulnerabilidades en Banco Estado, las cuales fueron desmentidas por su departamento de informática, incluso tengo entendido se realizó un estudio de poca monta en base a mi artículo para proteger al banco y tratar de desacreditarme…

¿La motivación de estas personas de escribir por escribir está motivada en resguardar sus contactos para no quedar mal con el banco, a pesar luego de vomitar contradictoria y literalmente en contra de ellos? ¿Ego por el “yo no lo vi primero, por lo tanto usaré su artículo como base para uno propio”? ¿Falta de inteligencia?

¿Por qué en Chile hay instituciones bancarias que encubren sus faltas? Sea como sea, ¿por qué no demostrar, otra vez, que la seguridad bancaria en realidad no es como los departamentos de publicidad (y agencias) la endiosan y muestran, basados en las mentiras y la falta de profesionalismo de sus “SysAdmin” y todos los epítetos copiados del inglés?

Pasado, pisado

Para empezar, me gustaría repasar un poco de historia como ex miembro de grupos como Santuario de La Fiebre CCA & HackersChilenos, porque la cercanía que tuvimos de plataformas, accesos a cuentas bancarias y a fallas de estas entidades fue delicada y particularmente compleja. Claro, bajo la égida de una máscara digital todo esto es gracioso  y es una de las metas a la cuales quieres llegar para demostrar tus capacidades, pero no es gracioso.

Fue así como ingresé al Banco Industrial de Venezuela para dejarle un mensaje a Nicolás Maduro:

Banco Industrial de Venezuela-hacked
Banco Industrial de Venezuela

Hoy la cuenta de Twitter me pertenece (después de largos dimes y diretes con sus administradores), por lo que cada tweet figura ahora, a mi nombre.

De igual manera vulneré una de las aplicaciones web del Banco Financiero de Venezuela para dejar en 0,0 las tarifas de los préstamos de dicho banco. ¿Qué mejor que bajar los costos a cero de una entidad financiera?

Banco Financiero de Venezuela
Banco Financiero de Venezuela

Instituciones bancarias como la Asociación de Bancos de China me sirvieron incluso para enviar uno de los tantos mensajes a Andres Godoy (subcomisario Brigada del Cibercrimen de la PDI, a quien le bloqueé su cédula de identidad y permiso de conducir -otra historia, así que material para otro artículo creo-):

Asociacion de Bancos de China
Asociacion de Bancos de China

Todo tiene consecuencias: a Andrés Godoy no le gustaron mis mensajes.

¿El lado positivo? Jamás le robé un peso a nadie, pese a haber tenido la oportunidad.

Pero, ¿qué es lo ocurre hoy en día? ¿Es necesario que sucedan estas cosas ligadas al sabotaje para que un banco proceda a tener más precaución, seriedad y rigurosidad con el acceso a los datos personales y al mismísimo dinero de sus clientes? ¿Están esperando un desastre financiero o un “mega hack” para tomar medidas?

Últimamente me he topado con cosas que rayan en lo absurdo, por lo que las plasmaré acá, para luego notificar a las entidades bancarias correspondientes, con la finalidad de que dejen de exponer la seguridad de sus clientes y corrijan las fallas que expondré con suma reserva.

Google Dorks

Haciendo experimentos de búsquedas avanzadas con dorks en Google Imágenes (sí, es posible), advertí cosas bastantes interesantes, como el hecho de que es posible rastrear y filtrar URLs que en la búsqueda normal de Google no se muestran (path de upload de un CMS, por ejemplo). Fue así como por arte de magia aparecieron decenas de imágenes de sitios web asociadas a una simple pero crítica exposición de upload.

¿Qué creen ustedes? Entre ellas un banco de argentina: Banco de Tierra del Fuego.

Banco de Tierra del Fuego
Banco de Tierra del Fuego
Banco de Tierra del Fuego
Banco de Tierra del Fuego

¿De qué sirve un certificado SSL si Banco de Tierra del Fuego expone públicamente un upload que permite subir, editar y alterar por completo el contenido del sitio web y además abrir puertas para una debacle comercial causada por la toma de control total del servidor web?

Ojo, y no es problema de idiosincracia; en EEUU, bancos como City First Bank of DC, están en la misma lista:

City First Bank of DC
City First Bank of DC

Acá, nuevamente, vemos cómo el certificado SSL de City First Bank of DC no sirve absolutamente de nada. ¿Sigues pensando en que un certificado SSL protege tus datos y tu dinero? Esta exposición permite a un atacante modificar el sitio web y tomar el control del servidor web para robar tus datos y, tu dinero…

La ropa sucia se lava en casa

No mires la viga o paja en el ojo ajeno, dicen por ahí. ¿Y en Chile? Pues en Chile… Hay muchas fallas, críticas… Algunas no es posible comprobarlas porque implican eventuales SQLi, upload, bypass de formularios de acceso, y muchas cosas más, por lo que sólo es posible exponer cosas básicas y públicas que están indizadas en Google como XSS y que uno va guardando con el tiempo y casi las olvida (guardadas muchas veces ni siquiera en la computadora), aunque veremos a continuación que ésta vulnerabilidad o una de inyección de HTML, no son tan inofensivas como aparentan, ya que pueden transformarse en poderosas herramientas de carding para cibercriminales.

Banco Estado

Banco Estado
Banco Estado

Banco Chile

Banco de Chile
Banco de Chile

Banco Santander

Banco Santander
Banco Santander

Coscorrón y tirón de orejas, es poco

¿Qué sucedería si un cibercriminal encontrara esta información y la utilizara para inyectar formularios falsos, rutinas de javascript keylogger, iframes…? Cookie stealing es lo más básico que un cibercriminal podría hacer con Banco Estado, Banco Chile y Banco Santander. ¡Un atacante podría utilizar la página web oficial de cada banco para hacer phishing y carding, sin la necesidad de montar un sitio web falso!

Y en los casos de Banco de Tierra del FuegoCity First Bank of DC, un atacante podría modificar completamente los sitios web, los archivos legales, robar los datos de los clientes e incluso tratar de robar dinero directamente desde el servidor web…

Hasta acá hemos visto que no es necesaria una certificación CEH, ni OSSTMM para demostrar que un puñado de bancos vulneraran todos los días sus políticas de protección de los datos y seguridad informática respecto de los dineros y contratos de sus clientes; no es necesario ser “developer”, ni “SysAdmin”, ni “Security Researcher”, para exponer que las entidades financieras simplemente no son seguras.

Las cosas como son. Pongámonos serios.

En su Propia… ¿Qué?

Hace unos días me dijeron: “Joshua, en el programa En su Propia Trampa, salió un tipo, un hacker, y de inmediato pensé en ti”. Lo primero que se me vino a la mente fue, “Se nota que no me conoces bien, yo no veo televisión, prefiero un buen libro o leer las noticias en Internet”. Le dije lo de siempre: qué programa es ese, dónde lo pasan, y qué estaba haciendo el tipo para que lo comparara conmigo…

Ahora, una semana, un amigo me envió un link por Skype. Ni siquiera lo abrí…

  • ¿De qué se trata? – Le pregunté-.
  • El que salió en su propia Trampa -me dijo-.

Comencé a revisarlo y me llamó la atención la siguiente frase: “Creamos Software original, robusto y flexible”. ¿Cómo alguien o una empresa puede jactarse de tal cosa si como CMS utiliza un software que no es creado por ellos mismos? Yo utilizo Joomla! (no se dejen llevar por lo que les dice Appspector y Wappalyzer, son extensiones de Chrome fáciles de engañar) WordPress, muchas personas y empresas lo ocupan pero… ¿Para qué aparentar algo que no es? ¿Cuál es el objetivo?

Posteriormente pensé: “Esto no es una auditoría, pero… Pum! ¿Una empresa de seguridad informática que no cambia la URL de acceso al panel?” ¡Ataque de fuerza bruta!

“Bueno, y si lo paso en esa estupidez de scanner online…” Usuario del CMS: admin. ¿Qué empresa o experto en seguridad informática utiliza “admin” como usuario y lo deja al descubierto? Irrisorio, ni siquiera fue necesario utilizar aplicaciones como WPScan u otras… Falta solamente la contraseña…

Veamos, ¿hasta dónde llegaría mi sorpresa? (en este punto ya no aguantaba la risa) Full path disclosure mostrando no sólo el path del servidor sino que detallando incluso el usuario de la cuenta… site:domain.cl

Y como si fuera poco, el servidor de alojamiento es vulnerable a ataques Poodle:

¿Debía seguir? Yo me pondría las pilas, porque podría venir alguien malintencionado y… Hacerlos caer en su Propia Trampa…

Entel, mejor vivir desconectado o graves fallas de seguridad

Desde hace ya unos meses que soy cliente de la compañía telefónica Entel. Jamás había ingresado al sitio web como cliente para registrarme y cosas por el estilo. Cuando lo hice, debo decir que mi sorpresa fue tal, que ya no sé si reír o llorar; me da vergüenza tener un teléfono y un número activo asociado a esta compañía, porque sus niveles de seguridad son desastrosos. Ya estoy buscando otra compañía, recomiendo cambiarse.

30 segundos bastan para ver tus llamadas o quién te ha llamado

Lo primero y de sorpresa profunda es el hecho de que la aplicación web permite ingresar a la cuenta de cualquier usuario si tienes a mano su teléfono, ya que no tienen ningún filtro o sistema de verificación en 2 pasos, por lo que ojo, tengan cuidado, esta crítica falta de seguridad es mina de oro para detectives privados y crackers sin escrúpulos, los cuales con tan sólo tener 30 segundos el teléfono de una persona en su poder, podrán acceder a toda la información de llamadas emitidas y recibidas, SMS, y otros. ¡Ahora ya lo sabes, si eres cliente Entel, duerme con el teléfono!

Acceso a Tráfico de llamadas en 30 segundos
Acceso a Tráfico de llamadas en 30 segundos

Certificado SSL con tecnología basura & Ataques Poodle

 Luego de esta sensación de inseguridad con el acceso en 30 segundos, advertí que el navegador web arrojaba alerta con el certificado SSL (HTTPS), y la pregunta fue: ¿hay archivos en la aplicación de usuario que en su ruta no tienen el llamado a un SSL? Usualmente se da este error en los sitios web.

Certificado SSL de Entel con Alerta de Seguridad
Certificado SSL de Entel con Alerta de Seguridad

Para salir de la duda realicé lo que todo cristiano haría: revisar la alerta del navegador y luego hacer una consulta pública de la conexión SSL, lo cual me dejó atónito.

Certificado SSL con algoritmo SHA1 y vulnerable a ataques Poodle
Certificado SSL con algoritmo SHA1 y vulnerable a ataques Poodle

Tal como pueden ver, Entel está exponiendo a miles o millones de clientes al utilizar el algoritmo SHA-1 en sus firmas de certificado SSL. Por otro lado, cuando realicé la consulta pública del certificado SSL de Entel en mi cuenta de usuario, pasamos de SHA-1 a algo mucho más peligroso: el servidor soporta conexión por medio del protocolo SSLv3, es decir, ¡es posible realizar ataques Poodle! Acá es posible ver cómo el handshake de SSLv3 se realiza, trágicamente, sin problema alguno:

Handshake SSLV3 satisfactorio para ataques informáticos Poodle
Handshake SSLV3 satisfactorio para ataques informáticos Poodle

Dos fuentes oficiales, OpenSSL y Google, han alertado desde octubre de 2014 que el protocolo SSLv3 está obsoleto y es vulnerable a ataques informáticos. ¿Cómo es posible que Entel no sepa esto?

La documentación oficial:

  • https://www.openssl.org/~bodo/ssl-poodle.pdf
  • https://www.openssl.org/news/secadv_20141015.txt
  • http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

Vale, pero, ¿qué es posible hacer con este tipo de ataques? Sin ambages, se pueden realizar ataques del tipo man-in-the-middle para robar, reutilizar y/o descifrar la información de, por ejemplo, las cookies del navegador, y luego ingresar a todas las cuentas de usuario que hayas utilizado: tus emails, tu cuenta del banco, Facebook, y todo lo que puedas imaginar.

Problemas graves más allá

Lo peor de este asunto es que no es algo particular, es global, ya que el servidor completo de Entel es vulnerable a ataques Poodle. Aća podemos ver handshakes satisfactorios en otras aplicaciones de usuario:

Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle

Aplicaciones web basura y desprotegidas

Después de todo esto, no es raro ver que tengan aplicaciones web basura que no sirven de nada, y a las cuales es posible ingresar con el RUN y contraseña de la misma cuenta de usuario Entel:

Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas

Filtración de datos de clientes y generación arbitraria de envío de contraseñas

Además de todo esto, Entel está filtrando los datos de los clientes y esto permite generar una solicitud arbitraria de contraseñas; la filtración se produce por el alojamiento dinámico de los datos de los clientes después de que éstos utilizan aplicaciones como esta:

Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas

Inyección de HTML, Cookie Stealing & Ataques de Ingeniería Social

Como guinda de la torta, hay aplicaciones web que permiten inyectar rutinas en HTML y lenguajes de programación como JavaScript, para inyectar rutinas payload y así realizar ataques de robo de cookies e ingeniería social, para robar más contraseñas aún:

Inyección de html, JavaScript y Ataques de Ingenieria Social & Cookie Stealing
Inyección de html, JavaScript y Ataques de Ingeniería Social & Cookie Stealing

Es importante destacar que, como aún soy cliente de Entel, he decidido comunicarme directamente con ellos a través del SERNAC, ya que obviamente no me siento seguro como cliente.

Esperemos que los señores de Entel corrijan estas y todas las otras fallas que tienen, porque de otra manera seguirán vulnerando los derechos del consumidor.

Para terminar podemos ver el historial poco feliz de seguridad web de Entel, lo cual reforzará más aún la incertidumbre a todos los clientes de Entel como yo:

  • http://www.zone-h.org/mirror/id/22375688
  • http://www.zone-h.org/mirror/id/22375689
  • http://www.zone-h.org/mirror/id/22375692
  • http://www.zone-h.org/mirror/id/22375691
  • http://www.zone-h.org/mirror/id/22375687
  • http://www.zone-h.org/mirror/id/22377488
  • http://www.zone-h.org/mirror/id/22374187
  • http://www.zone-h.org/mirror/id/22377511
  • http://www.zone-h.org/mirror/id/22377487
  • http://www.zone-h.org/mirror/id/22377753
  • http://www.zone-h.org/mirror/id/22332760

Chiletrabajos.cl filtra datos de usuarios registrados

Fugas de información y ataques de ingeniería social

El año 2013 (o 2012, si mal no recuerdo), mientras buscaba trabajo postulando en varios portales web, me di cuenta que uno de ellos estaba filtrando los datos personales de cientos y miles de personas que confiaban en ellos. Desconcertado, eché mano a footprinting y fingerprinting con el objetivo de hallar direcciones de correo electrónico que me permitieran un contacto medianamente directo con los dueños o administradores de la plataforma. Reporté la fuga de información y, al igual que casi todas las compañías mediocres en Chile, hicieron vista gorda, rehuyeron mi ayuda y, ahora, casi dos años después, veo que la fuga de información pasó de 500.000 datos a casi 230.000, es decir, no han corregido la falla:

Fuga de Información
Fuga de Información

Vale, pero, ¿cuál es la gravedad del asunto? Chiletrabajos.cl asegura, en su ítem Privacidad On-line de la sección Términos y condiciones, que “se hace responsable por la privacidad de la información veraz entregada por el Usuario, no revelará, ni compartirá esta información sin el consentimiento del usuario, excepto cuando lo requiera la ley o a solicitud del gobierno…“. Y como si fuera poco, en la sección de Privacidad, afirman que “CHILETRABAJOS ha adoptado los niveles de seguridad de protección de los Datos Personales legalmente requeridos. Aunque CHILETRABAJOS no garantiza la seguridad de los Datos Personales en circunstancias fuera de nuestro control, CHILETRABAJOS ha instalado los medios y medidas técnicas para tratar de evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los Datos Personales facilitados a CHILETRABAJOS…“. Presten atención, pues dejo subrayada la frase tratar de evitar, ya que podría ser un subterfugio por medio del cual estos señores dirían: “tratamos de evitarlo, no aseguramos 100% la confidencialidad de los datos“; lo cual sería doblemente fatal.

¡Fuga y descarga de los datos de manera legal!

En la captura siguiente podemos ver cómo cualquier persona con los conocimientos suficientes, sin infringir ningún tipo de ley, podrá descargar un archivo excel de los resultados de búsqueda (libres y públicos) en Google con las URLs en cuestión:

Filtración de Datos Chiletrabajos.cl
Filtración de Datos Chiletrabajos.cl

Este archivo excel luego se puede procesar con el simple pero potente comando wget en la terminal de Linux, y violà!, a la velocidad de la luz, ya tenemos nuestra propia base de datos con nombre, apellido, RUT, dirección, teléfono, email, estado civil, e historial laboral de miles de chilenos, y sin realizar ningún tipo de ataque o intrusión:

Base de Datos Chiletrabajos.cl
Base de Datos Chiletrabajos.cl

Ataques de Ingeniería Social, Malware & Spam

¿Postulaste a un empleo a través de Chiletrabajos.cl y después de eso comenzaste a recibir una alta carga de correo basura? Pues bien, este flaco favor se lo debes a los despreocupados señores de Chiletrabajos.

Pero, peligrosamente más allá: ¿qué podemos hacer con esta valiosa información, además de venderla como base de datos para email marketing? ¿Te has preguntado alguna vez cómo se idean, planifican y ejecutan los ataques de ingeniería social y la propagación de malware?

Para demostrar la gravedad del asunto, diseñé un hoax modelo que podría ser utilizado en un eventual ataque:

Ejemplo de Hoax para Ataque de Ingenieria Social
Ejemplo de Hoax para Ataque de Ingenieria Social

En teoría, habríamos logrado infectar miles de computadoras con spyware para armar una linda botnet que utilizaríamos para robar, editar y descargar información en los equipos controlados, así como extraer información del browser (usuarios, contraseñas, etc), potenciar la botnet instalando software adicional, inyectando ilegalmente clicks no válidos en campañas de publicidad por click o para ataques DDoS.

¿Cómo prevenir fugas de información?

A nivel empresarial, asegúrate siempre de que la información sensible no se almacene en un servidor público, como política interna. Además, técnicamente hablando, el departamento de desarrollo y producción, o tu webmaster, debe siempre usar métodos y herramientas que permitan bloquear toda clase de archivos y URLs de cara a los motores de búsqueda, como también utilizar pequeñas pero potentes líneas de control que a nivel de servidor bloqueen el listado de directorios y la ejecución de archivos en el navegador. ¿Cuánto demora la aplicación de esto? ¡No más de 10 minutos!

¿Cómo protegerse de ataques de Ingeniería Social?

Vaya pregunta. Difícil. Pero recomiendo tener en cuenta lo siguiente:

  • No hagas caso a sugerencias de antivirus, el spyware está diseñado para atravesar muros de fuego.
  • Además de antivirus, instala y usa regularmente aplicaciones anti-spyware como Malwarebytes.
  • Aunque sea molesto y tedioso, organízate y programa las actualizaciones de tu sistema operativo.
  • Analiza situaciones con la mente fría: ante la duda, abstente, no descargues archivos adjuntos y contacta directamente con el remitente del email.
  • No abras enlaces o links.
  • Si crees que has sido infectado y eres víctima de un ataque de ingeniería social, notifícalo en la policía, en tu centros de estudios, trabajo, u hogar, para alertar a otras posibles víctimas (el malware, una vez que infecta una computadora, es capaz de infectar una red completa) y desconecta la computadora de Internet hasta cuando estés 100% seguro de que la amenaza fue eliminada.
  • Busca ayuda de un experto, ya que se ha descubierto que hay virus capaces de alojarse en la BIOS.

La pregunta del millón: ¿cuántos spammers y crackers, antes que yo, ya han descargado esta base de datos pública para enviar publicidad spam y ataques con malware? Es altamente probable que en este mismo instante, tus datos estén en manos de cibercriminales. 

La ocasión hace al ladrón, que no se les olvide nunca.

Mapas de Ataques Informáticos DDoS & Malware

El cine ha explotado bastante la figura del hacker, y con esto, el concepto visual y auditivo de los ataques informáticos o las intrusiones a redes corporativas y militares; no les basta el personaje clásico del joven experto en burlar sistemas de seguridad, y para causar la mayor sensación posible de euforia y ciencia ficción, el hacker pasa del mundo real a cometer sus fechorías en mundos paralelos, o derechamente convierten su computadora en una central nuclear. Siendo más precisos, podemos ver esto en películas como The Lawnmower Man (El Hombre del Jardín), en donde el personaje experimenta en la vida real lo ocurrido en un mundo de realidad virtual hasta que lo absorbe por completo, o en la clásica Hackers, en donde Angelina Jolie es mucho más que una cara bonita, sino que una peligrosa y hábil hacker llamada Acid Burn. ¿Pero cómo se puede visualizar un ataque informático siendo lo más realistas posibles, sin caer en lo fantástico? ¿Cómo se ve realmente un ataque informático en tiempo real?

Logstalgia: Website Log Visualization

Logstalgia Website Log Visualization
Logstalgia Website Log Visualization

Logstalgia (también conocido como ApachePong) no es un mapa de ataques informáticos, sino que un software de código libre que permite plasmar en vídeo el comportamiento de un servidor frente a peticiones, utilizando el alma gráfica de Atari Pong. Logstalgia soporta varios formatos estandarizados de access.log utilizados en servidores web Apache y Nginx.

  • https://code.google.com/p/logstalgia/

Y, por supuesto, el sorprendente resultado final:

Mapa de Ataques DDoS

Digital Attack Map, el mapa de ataques informáticos DDoS de Google

Digital Attack Map DDoS of Google
Digital Attack Map DDoS of Google

Google, gracias a la colaboración de  la compañía Arbor Networks, lanzó el sitio web Digital Attack Map, en el cual es posible ver en tiempo real, los ataques DDoS que se realizan a escala mundial. El proyecto fue gestado en Google Ideas, en donde se han surgido otras iniciativas como Network Against Violent Extremism.

  • http://www.digitalattackmap.com/
  • http://www.google.com/ideas/

Mapas de Ataques con Malware

WorldMap3 & Global, los Mapas de Ataques o Infecciones con Malware (Virus) de F-Secure

WorldMap3 Malware or Virusmap of F-Secure
WorldMap3 Malware or Virusmap of F-Secure
Worldmap Virus of F-Secure
Worldmap Virus of F-Secure

La compañía finlandesa F-Secure, basada en los estudios y estadísticas de sus productos y servicios de seguridad informática, publicó dos sitios web en los cuales es posible ver el tracking de amenazas y ataques de las últimas 24 horas en todo el mundo:

  • http://worldmap3.f-secure.com/
  • http://globe.f-secure.com/

Malware Map, el pequeño pero detallista mapa de la multinacional informática Trend Micro

Malware Mapof Trend-Micro
Malware Mapof Trend-Micro

La firma internacional de seguridad informática Trend Micro Inc., fundada en EEUU y con sede central en Japón, permite consultar en línea en uno de sus principales sitios web, un pequeño pero detallado mapa con infecciones por malware a nivel global, con enlaces directos a su propia wiki, una base de datos con nombre y descripción de cada una de las amenazas, además de contar con una simple pero precisa segmentación geográfica de virus por continente.

  • https://imperia.trendmicro-europe.com/us/trendwatch/current-threat-activity/malware-and-vulnerability/malware-map/

Global Virus Map, el mapa de virus poco útil de McAfee

Global Virus Map McAfee
Global Virus Map McAfee

¿Cómo es posible que F-Secure sea capaz de implementar dos mapas útiles sobre infecciones por virus y McAfee no sea capaz de implementar sólo uno? En el sitio web de McAfee es posible consultar un diminuto e inútil mapa sobre supuestas amenazas de seguridad. Ciertamente, el mapa menos preciso y funcional de todos.

  • http://home.mcafee.com/virusinfo/global-virus-map

Mapas de Infecciones & Ataques por Botnet

Radar, el mapa de las redes zombies de la compañía de seguridad anti-DDoS Qrator

Radar Botnet Map by Qrator
Radar Botnet Map by Qrator

Minimalista y completo mapa de redes botnet que además incluye detallada información estadística sobre tasas de infección, como número asignado por bot, país, ISP, cantidad de bots conectados y mucho más, esto significa que dicho mapa puede ser consultado como una importante fuente de estudio.

  • https://radar.qrator.net/botnetmap/

Global Botnet Threat Activity Map, el mapa de Trend Micro sobre redes Botnets

Global Botnet Threat Activity Map by Trend Micro
Global Botnet Threat Activity Map by Trend Micro

Interesante mapa de Trend Micro Inc. sobre redes botnet, en el cual es posible consultar información general sobre los ataques e infecciones:

  • http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html

Mapas Interactivos de todo tipo de Ciberataques

Globe, el mapa de ataques web e infecciones por malware de AnubisNetworks

Global Map Cyberfeed of AnubisNetworks
Global Map Cyberfeed of AnubisNetworks

Mapa informativo desarrollado bajo una interesante interfaz gráfica que muestra progresivamente las infecciones y ataques localizados en distintos países.

  • http://globe.cyberfeed.net/

IPViking, el mapa de la ciberguerra de la firma Norse

Norse IPViking Map Live Attacks
Norse IPViking Map Live Attacks

Curioso mapa que centra su información en los ataques que se realizan entre países: un registro de la ciberguerra.

  • http://map.ipviking.com/

HoneyMap, el mapa informático de Honeynet Project ¿Qué? ¿Honeypots?

Honeymap of Honeynet Project
Honeymap of Honeynet Project

Sí, Honeynet Project, la organización voluntaria que apuesta por la implementación de honeypots, la detección de amenazas y el intercambio de información sobre seguridad, también tiene un mapa: HoneyMap. Se trata, ni más ni menos, que las estadísticas de ataque a los honeypots que forman parte del proyecto en todo el mundo. ¿Eres de aquellos que ataca lo primero que se les presenta en el camino? Ten cuidado, puedes estar frente a un tarro de miel.

  • http://map.honeynet.org/

Cyber Threat Map, otro mapa de la guerra cibernética, de FireEye

Cyber Threat Map FireEye
Cyber Threat Map FireEye

Similar al mapa IPViking de Norse, este segundo también centra su información en la data de ciberataques entre países:

  • https://www.fireeye.com/cyber-map/threat-map.html

Sicherheitstacho, el mapa de Deutsche Telekom ¿Más honeypots?

Sicherheitstacho of Deutsche Telekom
Sicherheitstacho of Deutsche Telekom

La compañía de telecomunicaciones más grande de la Unión Europea, montó sus propios honeypots y los liberó en diferentes partes del mundo. Así nace este mapa de ataques que realiza un tracking sobre sus tarros de miel.

  • http://www.sicherheitstacho.eu/

Cyberthreat Real Time Map de Kaspersky

Cyberthreat Real Time Map of Kaspersky
Cyberthreat Real Time Map of Kaspersky

Por su funcionalidad e interfaz gráfica informativa, es uno de los mapas de ataques informáticos más conocidos. Es posible ver los ataques en vivo y en directo, mientras puedes navegar por el mundo y seleccionar un país para informarte sobre sus amenazas, ataques o infecciones. Junto a Digital Attack Map de Google, y Radar de Qrator, uno de los mejores mapas sobre ataques informáticos, ya que permiten el acceso a la información de manera más intituiva.

  • https://cybermap.kaspersky.com/

¿Cómo es realmente un ataque informático?

Después de ver cómo es en el cine, cómo se puede plasmar en vídeo, y cómo es inmerso en las estadísticas de diversas compañías y organizaciones, ¿qué tal si vemos un vídeo sobre cómo realmente se realiza un ataque informático? ¡Disfrútalo!

  •  https://media.blackhat.com/us-13/us-13-Grossman-Million-Browser-Botnet.pdf