Archive for Google

¡Lleno, por favor! Gasolineras.

Recientemente, auditando la red de un cliente se detectó un router Huawei de Vodafone, el cual estuve echando un ojo a conciencia porque es de sobra conocida la calidad de los routers con la que los ISP (todos) pretenden que te conectes a la ADSL o Fibra, vi que algo no funcionaba como debiera.

Logueandome con password por defecto (no la tenía cambiada) intenté lo típico, loguearme, y desloguearme metiendo el burpsuite por medio para ver si las peticiones previas que había hecho, las validaba o se las saltaba a la torera.

Efectivamente, se las saltaba a la torera. Se me ocurrió que sería posible escanear “internet” para localizar router similares y poder crear un script que recopilara la información. Obviamente no lo iba a hacer pero la idea parecía buena hasta que buscando info del equipo vi que ya se me adelantaron y hace bastante tiempo.

Ya existía un script que creó Vicen Domínguez ( https://github.com/vicendominguez/http-enum-vodafone-hua253s/blob/master/README.md ) a raíz del descubrimiento, del mismo autor, del fallo de seguridad de estos routers (gracias por las referencias en twitter chicos!!) que podemos leer en https://packetstormsecurity.com/files/134522/Huawei-HG253s-V2-Information-Disclosure.html), por lo que llegué bastante tarde a este caso.

Pero el post no va sobre este tema, el cual es muy interesante y extendido (yo tengo un router de pruebas de este tipo y es bastante divertido darle caña).

Read more

PrivacyFix: Tu privacidad depende de la privacidad de los demás

¿Crees que eres dueño de tu privacidad? Redes sociales, portales de Internet, grupos de Whatsapp, aplicaciones móviles que solicitan muchos permisos… hoy día es muy difícil proteger nuestra privacidad, pues nuestra vida virtual está conectada con nuestra vida real.

¿Realmente controlas las fotografías que aparecen tuyas en las redes sociales, conoces aspectos tan importantes como la geolocalización, sabes qué aplicaciones móviles requieren los datos de tu teléfono…? En definitiva, ¿sabes qué información se publica de ti en Internet?

A día de hoy es imposible controlar nuestra privacidad al completo ya que nuestra privacidad depende de la privacidad de los demás, una foto en el teléfono de un amigo, un perfil de Twitter con geolocalización activada donde se te etiqueta en una foto, un perfil de Facebook público donde aparecen fotos de menores… Son algunos ejemplos de que no somos dueños de nuestra privacidad.

A continuación vemos algunos ejemplos de información sensible:

twitter

  • Geolocalización que guarda Gmail desde nuestra cuenta configurada en nuestro teléfono Android (¿Está tu cuenta de gmal entre los 5 millones de cuentas vulneradas hace unos meses? Ver aquí)

gmail

  • Perfiles públicos en Facebook con información sensible u obtenidos a partir de un número de teléfono móvil publicado en Internet (MilAnuncios, BlaBlaCar, etc).

facebook

Además de estos ejemplos, tenemos también un caso muy importante a tratar sobre la privacidad, concretamente de las fotografías que otras personas suben de nosotros a Internet, bien por redes sociales o chats. A continuación podéis ver un video donde se aclara perfectamente:

Como complemento a esta información podéis ver un artículo sobre El peligro de las Redes Sociales que publicamos hace unos meses.

Algunas de estas fugas de información se pueden evitar para proteger nuestra privacidad, tan sólo hay que configurar de manera correcta nuestras redes sociales, cuentas de correo u otros perfiles de usuario utilizados en Internet. Ahora esto es muy sencillo haciendo uso de la herramienta Privacy Fix de AVG.

¿Qué es PrivacyFix?

Privacy Fix es su panel de privacidad en línea. Este complemento para navegadores y app para dispositivos móviles realiza un análisis para detectar problemas de privacidad y te ayuda a configurar los ajustes para corregirlos.

Concretamente podemos llevar a cabo el fixeo de la configuración de los siguientes apartados:

  1. El seguimiento de navegación del usuario.
  2. Cuenta de Gmail.
  3. Perfiles de Twitter, Facebook y LinkedIn.

1. En la siguiente imagen vemos cómo podemos corregir fallos de privacidad respecto al seguimiento de cookies o widgets que rompan nuestra privacidad en Internet.

00privacyfix

A medida que vamos corrigiendo los diferentes ajustes veremos como la barra de proceso va avanzando.

2. El seguimiento que Google hace de nosotros conlleva entre otras cosas el almacenamiento del historial de búsqueda, cosa que podemos corregir. También el seguimiento de cookies por parte de anunciantes para poder ofrecernos sus productos independientemente de la Web que visitemos.

01google

3. Por último vamos a corregir nuestra configuración de seguridad/privacidad de nuestras redes sociales.

Dentro de Twitter podemos corregir varios aspectos que vemos a continuación.

02twitter

En la siguiente imagen vemos como PrivacyFix nos asiste para desactivar de manera correcta la geolocalización en los tweets.

02_1twitter

Dentro de Facebook podemos corregir varios aspectos que vemos a continuación.

03facebook

Dentro de LinkedIn podemos corregir varios aspectos que vemos a continuación.

04Likedin

Una vez que tenemos todos los puntos corregidos veremos la barra de proceso al 100%, lo cual quiere decir que los aspectos de privacidad de nuestras redes sociales y cuentas están bien configurados.

A medida que naveguemos por Internet podemos ver en la barra de navegación el complemento de PrivacyFix y consultar aspectos de privacidad sobre la Web que visitamos en ese momento.

panel

Espero que seáis conscientes de la importancia que tiene preservar nuestra privacidad en la red y lo que nos puede ayudar esta herramienta a ello. Para finalizar os dejo un video que puede darnos que pensar sobre el camino que lleva nuestra sociedad en relación al uso de las redes sociales y la importancia de las mismas:

Hasta la próxima y cuidar de vuestra privacidad porque de ella depende también la privacidad de los demás.

¡Un handshake!

@eduSatoe

“Antes de cambiar el mundo, da tres vueltas por tu casa”

Proverbio chino

Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet. Read more

Descubriendo otro perfil falso en Facebook

En una entrada anterior ya explicábamos cómo utilizar Google Images para buscar una imagen que ha sido usada en otros sitios Web, como por ejemplo, en redes sociales con perfiles falsos. De hecho en esa entrada ya nos centrábamos en un perfil falso de Facebook.

Hoy volvemos a explicarlo pero con un perfil muy reciente, que posiblemente muchos de vosotros estéis viendo en Facebook con algún tipo de promoción de la red social o con el típico mensaje de “Personas que quizás conozcas“. O porque te lo comente un amigo por Facebook, como ha sido el caso de mi amigo Tino.

Perfil falso en FacebookEn este caso se trata de un perfil llamado Bella Dulce en el que aparece una chica ligerita de ropa y con un “postureo” muy sugerente. Otra cosa que me llama la atención es que supuestamente estudia en la Universidad de Málaga […] Bien, todo es posible. Read more

Google Hacking: SEO vs Cloacking

En esta entrada explicaré cómo, a través de Google Hacking, podemos detectar páginas Web que son víctimas actualmente de Cloacking. A estas alturas, creo que sobra decir lo importante que es optimizar correctamente nuestro posicionamiento en los buscadores. Unas buenas (y legítimas) técnicas de SEO (Search Engine Optimization) nos pueden garantizar un buen número de visitas a nuestro sitio Web, lo que al final se traduce en posibles nuevos clientes potenciales y nuevas posibilidades de negocio. Está clara la importancia del SEO.

Obviamente, este potencial no sólo es usado con fines legítimos, también se está aprovechando para engañar al usuario y redirigirlo a otras páginas Web, que nada tiene que ver con la original, donde por ejemplo se vende Viagra o créditos de casinos online.

Hay distintos tipos de Cloacking, pero la técnica más usada consiste en aprovechar una vulnerabilidad en la Web víctima, inyectar un código de redirección (a veces ofuscado) y controlar desde dónde viene el tráfico. Es decir, a los buscadores como Google, Yahoo, Bing… se les mostrará la Web original, sin embargo, cuando el “referer” (el origen de la navegación) sea otro, como por ejemplo, un navegador Mozilla o Chrome, el usuario será redirigido a la Web del atacante, con ofertas de Viagra o créditos en casinos online.

Veamos un ejemplo:

Google Hacking: SEO y Cloacking

Google Hacking: SEO y Cloacking

En este ejemplo, centrándonos es sitios Web con dominio geográfico .es (España) vemos más de 300.000 resultados de búsqueda para Viagra. ¿Muchos resultados para sitios Web que venden viagra en España, no créeis?

Pues bien, una de las páginas Web que vamos a usar para esta PoC (prueba de concepto), ha sido víctima de Cloacking. La URL (que no se muestra por protección y privacidad de la identidad de la víctima) es totalmente legítima, pero el título como podéis ver ya anuncia la venta de Viagra. Para Google la Web es totalmente legítima porque la URL y/o el dominio son de confianza. Sin embargo al pinchar sobre el enlace, se produce una redirección mediante Javascript que nos lleva a otra Web distinta a la de la víctima.

Google Hacking: SEO y Cloacking

 Veamos con ZAP, un proxy local, cómo se produce la redirección hacia la Web del atacante.

Google Hacking: SEO y Cloacking

Google Hacking: SEO y Cloacking

Vemos que la petición original viende desde Google (desde los resultados de búsqueda) y a continuación veremos cómo se produce la redirección hacia la Web de venta de Viagra.

Google Hacking: SEO y Cloacking

Google Hacking: SEO y Cloacking

Se puede observar cómo mediante un location.href de Javascript, el atacante consigue redirigir al usuario a su Web.

Como siempre, espero que haya sido de vuestro interés. En el próximo post, más y mejor!

 

 

Diseccionando malware: javascript malicioso en una Web

Diseccionando malware, suena a quirófano y bisturí, pero es lo que realmente intento metafóricamente hacer, ya que cada vez es más frecuente encontrarnos con algún código JavaScript malicioso en una Web. En los últimos días, han sido muchas las tareas de limpieza de malware en sitios Web que he tenido que hacer, y algunas de estas experiencias quiero compartirlas con vosotros, estimados hackers éticos 😉

Comencemos por nuestro software antivirus, que estando debidamente configurado y actualizado, nos tiene que avisar cada vez que aterricemos en una Web con código Javascript malicioso. Ya no tanto por la capacidad de navegación segura que incorporan si no porque al tratarse de archivos temporales que nuestro navegador “obedientemente” almacena en nuestras carpetas temporales, detecta como un archivo con malware.

Desde el punto de vista del cliente, propietario de la Web, la preocupación es tremenda ya que sus clientes a su vez se le quejan de que al navegar, su antivirus o Google Safe Browsing (hablaremos en otra ocasión de esto), alertan de la presencia de software maligno. A continuación un ejemplo de este tipo de avisos. Read more

Taller de Hacking Ético – Universidad de Córdoba

Nos complace informaros que el próximo lunes 4 de marzo, compañeros de Aconsa y el que escribe, estaremos impartiendo un Taller de Hacking Ético en la Universidad de Córdoba, en concreto en el Edificio Darwin (C1), Aula B7 del Campus Universitario de Rabanales de dicha ciudad.

Taller Gratuito de Hacking Ético

Al taller pueden asistir todas aquellas personas interesadas (hasta completar aforo) en adquirir conocimientos en técnicas de Hacking Ético, Seguridad e Inseguridad Informática. Eso sí, para sacar el máximo rendimiento al taller, se aconseja que cada asistente se traiga su ordenador portátil y si es posible con sistema operativo Linux instalado.

Al finalizar el taller se propondrá un RETO DE SEGURIDAD INFORMÁTICA a los asistentes, cuyo contenido se publicará en este mismo blog el mismo día del taller.

Interesados en recibir más información o confirmar asistencia pueden enviarme un correo a miguelangel.arroyo[at]aconsait.com

Información completa con horarios y contenidos del taller en el siguiente documento: Cartel – Taller de Hacking Ético

Sin más, esperamos contar con tu presencia!

SE Hacking Ético: Google Hacking – Parte 4

Volvemos a retomar el tema de Google Hacking. Como ya vimos en SE Hacking Ético: Google Hacking – Parte 1, SE Hacking Ético: Google Hacking – Parte 2 y SE Hacking Ético: Google Hacking – Parte 3 recordamos que Google es el buscador más usado y a la par el más potente de la actual era de Internet. Pero mas allá de escribir direcciones Webs que ya conocemos en el cuadro de texto del buscador (los más newbies en la materia piensan que Google es Internet) tenemos un abanico impresionante de utilidades con Google.

No sólo es un buscador, sino que posee aplicaciones, correo electrónico y hasta smartphones. También posee ciertos comandos “especiales” para precisar muchísimo más en las búsquedas. Comandos muy precisos, para buscar determinados tipos de archivos, rutas, etc…

Estos comandos peculiares forman parte del proceso Footprinting. El cual se basa en la primera fase de todo “Pentest”. La obtención de información pública o “Information Gathering“.

Una vez refrescada la memoria un poco, vamos a analizar algunos comandos usados para Google Hacking.

googlehacking

Read more

Encontrando .htaccess y .htpasswd antiguos con Google Hacking

Últimamente me encuentro con perlas bastantes interesantes cuando juego con Google Hacking, porque en realidad es un auténtico juego. Esta mañana, mientras monitoreaba algunos sistemas, me acordé de que hay muchos usuarios, incluso sysadmins, que siguen usando extensiones del tipo old o bak.

Lo malo no usar este tipo de extensiones, lo malo es dejarlos accesibles desde Internet. Hay un caso muy curioso que es el de los archivos .htaccess y .htpasswd que como bien sabéis sirven para asegurar nuestro servidor Web, controlando accesos entre otras cosas.

Pues bien, “trasteando” con Google encuentro cosas sustanciosas al buscar versiones “old” de estos archivos.

Estaba claro, probemos ahora con .htaccess…

Read more

SE Hacking Ético: Google Hacking – Parte 3

Me he decidido a retomar esta serie de artículos relacionados con Search Engine Hacking Ético, dedicado a Google Hacking. Siempre desde el punto de vista de hacking ético. En esta tercera parte de la serie, vamos a buscar centralitas voip basadas en software opensource como Asterisk.

Indagando un poco por internet, a través de imágenes de Google, he comprobado que el título de la página siempre es “FreePBX administration“. 

Search Engine Hacking Ético - FreePBX Administration

Por lo tanto ya tenemos claro que esta frase clave, “FreePBX administration”, tiene que ir en nuestra búsqueda en Google. Para ello usaremos el operador intitle de Google y para reducir el ruido documental podemos usar el operador site con el símbolo de exclusión “-” (guión, sin comillas) para excluir el dominio del propio software freepbx.org:

intitle:”FreePBX administration” -site:freepbx.org

 A continuación una captura de los resultados de esta búsqueda:

Search Engine Hacking Ético - FreePBX Search 1

Bien, ya vamos obtieniendo resultados, pero así a simple vista no parece que se trate de páginas de administración de FreePBX. Si volvemos a fijarnos en la primera imagen, podemos comprobar como la url por defecto de la aplicación Web es http://dirección/admin/… ¿Por qué no probar incluir en la búsqueda sólo aquellas direcciones que incluyan la palabra admin en su url? Probemos lo siguiente:

intitle:”FreePBX administration” -site:freepbx.org inurl:”/admin”

Read more