Archive for Redes sociales

PrivacyFix: Tu privacidad depende de la privacidad de los demás

¿Crees que eres dueño de tu privacidad? Redes sociales, portales de Internet, grupos de Whatsapp, aplicaciones móviles que solicitan muchos permisos… hoy día es muy difícil proteger nuestra privacidad, pues nuestra vida virtual está conectada con nuestra vida real.

¿Realmente controlas las fotografías que aparecen tuyas en las redes sociales, conoces aspectos tan importantes como la geolocalización, sabes qué aplicaciones móviles requieren los datos de tu teléfono…? En definitiva, ¿sabes qué información se publica de ti en Internet?

A día de hoy es imposible controlar nuestra privacidad al completo ya que nuestra privacidad depende de la privacidad de los demás, una foto en el teléfono de un amigo, un perfil de Twitter con geolocalización activada donde se te etiqueta en una foto, un perfil de Facebook público donde aparecen fotos de menores… Son algunos ejemplos de que no somos dueños de nuestra privacidad.

A continuación vemos algunos ejemplos de información sensible:

twitter

  • Geolocalización que guarda Gmail desde nuestra cuenta configurada en nuestro teléfono Android (¿Está tu cuenta de gmal entre los 5 millones de cuentas vulneradas hace unos meses? Ver aquí)

gmail

  • Perfiles públicos en Facebook con información sensible u obtenidos a partir de un número de teléfono móvil publicado en Internet (MilAnuncios, BlaBlaCar, etc).

facebook

Además de estos ejemplos, tenemos también un caso muy importante a tratar sobre la privacidad, concretamente de las fotografías que otras personas suben de nosotros a Internet, bien por redes sociales o chats. A continuación podéis ver un video donde se aclara perfectamente:

Como complemento a esta información podéis ver un artículo sobre El peligro de las Redes Sociales que publicamos hace unos meses.

Algunas de estas fugas de información se pueden evitar para proteger nuestra privacidad, tan sólo hay que configurar de manera correcta nuestras redes sociales, cuentas de correo u otros perfiles de usuario utilizados en Internet. Ahora esto es muy sencillo haciendo uso de la herramienta Privacy Fix de AVG.

¿Qué es PrivacyFix?

Privacy Fix es su panel de privacidad en línea. Este complemento para navegadores y app para dispositivos móviles realiza un análisis para detectar problemas de privacidad y te ayuda a configurar los ajustes para corregirlos.

Concretamente podemos llevar a cabo el fixeo de la configuración de los siguientes apartados:

  1. El seguimiento de navegación del usuario.
  2. Cuenta de Gmail.
  3. Perfiles de Twitter, Facebook y LinkedIn.

1. En la siguiente imagen vemos cómo podemos corregir fallos de privacidad respecto al seguimiento de cookies o widgets que rompan nuestra privacidad en Internet.

00privacyfix

A medida que vamos corrigiendo los diferentes ajustes veremos como la barra de proceso va avanzando.

2. El seguimiento que Google hace de nosotros conlleva entre otras cosas el almacenamiento del historial de búsqueda, cosa que podemos corregir. También el seguimiento de cookies por parte de anunciantes para poder ofrecernos sus productos independientemente de la Web que visitemos.

01google

3. Por último vamos a corregir nuestra configuración de seguridad/privacidad de nuestras redes sociales.

Dentro de Twitter podemos corregir varios aspectos que vemos a continuación.

02twitter

En la siguiente imagen vemos como PrivacyFix nos asiste para desactivar de manera correcta la geolocalización en los tweets.

02_1twitter

Dentro de Facebook podemos corregir varios aspectos que vemos a continuación.

03facebook

Dentro de LinkedIn podemos corregir varios aspectos que vemos a continuación.

04Likedin

Una vez que tenemos todos los puntos corregidos veremos la barra de proceso al 100%, lo cual quiere decir que los aspectos de privacidad de nuestras redes sociales y cuentas están bien configurados.

A medida que naveguemos por Internet podemos ver en la barra de navegación el complemento de PrivacyFix y consultar aspectos de privacidad sobre la Web que visitamos en ese momento.

panel

Espero que seáis conscientes de la importancia que tiene preservar nuestra privacidad en la red y lo que nos puede ayudar esta herramienta a ello. Para finalizar os dejo un video que puede darnos que pensar sobre el camino que lleva nuestra sociedad en relación al uso de las redes sociales y la importancia de las mismas:

Hasta la próxima y cuidar de vuestra privacidad porque de ella depende también la privacidad de los demás.

¡Un handshake!

@eduSatoe

“Antes de cambiar el mundo, da tres vueltas por tu casa”

Proverbio chino

El peligro de las redes sociales

Como bien sabéis en Hacking-etico.com estamos comprometidos con la Seguridad en la Red. A través de eventos y charlas y sobre todo mediante nuestro blog, queremos concienciar a las personas tanto adultos como menores sobre los peligros de la red.

Hace escasos minutos a través del Twitter oficial de la Guardia Civil @guardiacivil hemos visualizado un tweet con un vídeo que nos ha gustado de manera especial ya que hace un símil de la vida real con la cibernética y que desde hacking-etico.com recomendamos visualizar con tus menores (hijos, sobrinos, primos, hermanos, amigos, etc…) para mostrarte lo fácil que puede ser para un menor caer en la trampa de gente con intenciones muy muy malas y abominables. El peligro de las redes sociales pretende hacer llegar este tema a el mayor número posible de padres o tutores de menores para proteger lo máximo posible a los más débiles, los niños.

También recomendamos que lean un artículo que ha publicado en cordopolis.es nuestro compañero de hacking-etico.com Miguel Ángel Arroyo en donde habla de también de esta problemática.

Os dejamos el vídeo:

 

Metadatos en Twitter con Rest API 1.1

Muchas veces no nos damos cuenta de la cantidad de datos que ofrecemos en la redes sociales cada vez que publicamos alguna nueva entrada. ¿Qué pasaría si accediéramos a la base de datos que utiliza cualquiera de estas redes sociales? Además de la información que vemos , ¿qué otra información guardan?

Vamos a ver que información obtenemos haciendo uso de la REST API 1.1 de Twitter que utilizan los desarrolladores de apps móviles (entre otros) para hacer peticiones al servidor y recuperar toda la información de usuarios, tweets, imágenes, etc. Aquí tenéis el enlace dentro de su sitio Web (https://dev.twitter.com).

¿Qué es REST? 

Es una arquitectura basada en el estándar HTTP y que nos permite crear servicios que pueden ser utilizadas por cualquier dispositivo cuyo cliente pueda trabajar con HTTP. Esto nos permite ofrecer un servicio Web accesible desde cualquier apps que entienda el protocolo HTTP, independientemente del sistema operativo en el que nos encontremos.

REST API 1.1 Twitter

Concretamente la tecnología que utiliza Twitter es precisamente la comentada anteriormente. Han creado para ello una API, actualmente la versión la versión 1.1, donde nos permite hacer uso de su servicio Web para acceder a los datos de su servidor. En esta versión 1.1 es necesario realizar las peticiones al servicio REST con alguno de los mecanismos de autenticación disponibles  (https://dev.twitter.com/docs/auth). 

Accediendo a la consola

Nosotros vamos a hacer peticiones a su servicio REST por medio de su consola (https://dev.twitter.com/console). 

01apiConsole

Consola de la REST Api de Twitter

Vamos a usar el método de autenticación OAuth, para lo cual debemos loguearnos con nuestro usuario y contraseña de Twitter y autorizar la aplicación de consola a utilizar como vemos en las siguientes imágenes.

01apiConsoleOAuth

Métodos de Autenticación para el uso de la REST Api 1.1

04apiOauth

Autorización de la consola

 

Consultas desde la consola

Ahora ya tenemos todo preparado para hacer consultas al servicio REST haciendo uso de la API 1.1 de Twitter. Debemos tener en cuenta que la contestación de las respuestas se lleva a cabo en formato JSON. Vamos a ver cuales son las posibilidades que tenemos accediendo a la documentación de la misma (https://dev.twitter.com/docs/api/1.1)

Ej.1 – Buscando tweets de una cuenta.

Vamos a averiguar que software ha creado ese tweet: Android, IOS, Paper.li, Buffer, Tweet Old Post… y la cuenta que lo ha creado, junto con su id.

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/[email protected]_etico y buscamos dentro de sus resultados en formato JSON la caracterítica source de cada uno de los tweets. El resultado lo podemos ver a continuación.

ej1-consola

Usuario que usa Twitter desde Android

ej1-consola2

Usuario que usa Twitter desde iPhone

 

Ej.2 – Buscando tweets en un lugar geolocalizable.

Vamos a dar unas coordenadas que podemos averiguar de Google Maps con un radio de acción de 1km y una palabra de búsqueda. 

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/tweets.json?q=ccf&geocode=37.872371,-4.764628300000027,1km donde las coordenadas que hemos dado son las del estadio del Córdoba CF y la palabra de búsqueda es CCF. El resultado sería el siguiente:

ej2-consola

Búsqueda de tweet geolocalizable.

ej2-consola2

Tweet encontrado en coordenadas dadas.

 Conclusiones

Esta es alguna de la metainformación que podemos manejar en Twitter para obtener interesantes búsquedas, todo ello manejando sus datos como si de una consulta en una BBDD se tratase. Existen muchas otras posibilidades dentro de la API 1.1 que seguro o serán muy interesantes: filtros de fechas, relación entre usuarios, geolocalización inversa, búsqueda de lugares, búsqueda de tweets por ip, etc.

Un handshake para todos !! @eduSatoe

 “Nunca darse por vencido. Nunca aparentar.

Nunca mantenerse inmóvil. Nunca aferrarse al pasado.

Nunca dejar de soñar

Steve Jobs

El peligro de las URL acortadas

Llevo ya varias semanas viendo como algunas cuentas de Facebook y Twitter, con algún interés oculto (o no), publican imágenes impactantes acompañados de una URL, acortada para no descubrir el destino final. El peligro de las URL acortadas es que a simple vista no sabemos hacia dónde nos llevará cuando hagamos clic en ellas.

Esta URL, en el caso que os expongo a continuación, a diferencia de llevar a un sitio Web con la información completa e “impactante” según indicaba la publicación, nos llevará a un sitio de vídeos de pornografía o incluso a un sitio Web malicioso, preparado para infectar nuestro equipo con algún malware.

Veamos un ejemplo:

Peligro de las URL acortadas

En la imagen superior podéis ver un ejemplo claro. Texto impactante, imagen impactante y supuestamente una URL que nos llevará a un vídeo, más impactante todavía. Vamos, ¡aquí hay que pinchar sí o sí!

Nada más y nada menos que 1.649 retweets de la publicación… Alguno caerá, seguro.

Pero, ¿y si comprobamos antes la URL? Está acortada, pero ¿por qué no descubrimos dónde nos llevaría antes de hacer clic?

El peligro de las URL acortadas

En la publicación observamos la URL http://goo.gl/hJsxiV (acortador de URL) que sin embargo, al poner el puntero del ratón encima, nos llevará a http://t.co/pnYhDc5SBR (otro acortador URL) como podemos observar en la barra de estado del navegador Web.

Bien, sin hacer clic en el enlace, ¿cómo podemos saber dónde nos llevará? Para eso disponemos de unos recursos online que nos permiten expandir este tipo de URL y mostrarnos la dirección Web real.

Uno de estos servicios es http://checkshorturl.com:

En este sitio Web escribimos la URL acortada http://t.co/pnYhDc5SBR y hacemos clic en el botón Expand.

El peligro de las URL acortadas

Y a continuación el resultado de expandir esta URL:

El peligro de las URL acortadas

Poco más que añadir…

Impactante“, ¿verdad?

Descubriendo otro perfil falso en Facebook

En una entrada anterior ya explicábamos cómo utilizar Google Images para buscar una imagen que ha sido usada en otros sitios Web, como por ejemplo, en redes sociales con perfiles falsos. De hecho en esa entrada ya nos centrábamos en un perfil falso de Facebook.

Hoy volvemos a explicarlo pero con un perfil muy reciente, que posiblemente muchos de vosotros estéis viendo en Facebook con algún tipo de promoción de la red social o con el típico mensaje de “Personas que quizás conozcas“. O porque te lo comente un amigo por Facebook, como ha sido el caso de mi amigo Tino.

Perfil falso en FacebookEn este caso se trata de un perfil llamado Bella Dulce en el que aparece una chica ligerita de ropa y con un “postureo” muy sugerente. Otra cosa que me llama la atención es que supuestamente estudia en la Universidad de Málaga […] Bien, todo es posible. Read more

Seguridad en Telegram: criptógrafos y sysadmins

El pasado viernes tuve la oportunidad, un año más, de participar como ponente en la Sysmana 2014 organizada por el IES Gran Capitán de Córdoba. Mi charla tenía como temática la seguridad en Telegram. Basé mi investigación en demostrar que a través de una captura de tráfico de conversaciones e intercambio de imágenes entre clientes y servidores de Telegram prácticamente no se podía sacar ninguna información sensible, por lo que a nivel de cifrado de las comunicaciones, su protocolo propio, MTProto parece que cumple con su funcionalidad, al menos a lo que respecta en la confidencialidad de las comunicaciones. Los criptógrafos habían hecho bien su trabajo.

Los asistentes a mi charla en su gran mayoría eran administradores de sistemas, y qué mejor momento para romper una lanza a su favor, y demostrar que igual de importante es mantener la privacidad en las comunicaciones que mantener unos sistemas seguros. In-situ pudimos comprobar cómo, a través del fichero log que Telegram amablemente nos pone a nuestra disposición para participar en su Crypto Contest e intentar ganar los 200.000 dólares, pudimos enumerar varios datos que a nuestro parecer, son interesantes.

Telegram - MTProto log file

Telegram – MTProto log file

Entiendo que cualquier criptógrafo sería capaz de “ver” más allá (o no) de esta captura o al menos intuir algo, nosotros, que no somos criptógrafos, sólo vemos direcciones IP, puertos, tamaños de mensajes y timestamps. Read more

HoneyDocs. Revelando la posición del atacante.

A través de las redes sociales nos encontramos mucha información, opiniones, noticias, e incluso insultos y amenazas. No nos asustemos pero esto es así. El uso de ataques, usurpación de identidad, etc… Ya no forma parte de la ciencia ficción de las grandes producciones (o no tan grandes) de Hollywood.

Recuerdo vagamente un caso en el que nuestro compañero Miguel Ángel Arroyo pudo saber el lugar desde donde le habían usurpado la cuenta Twitter a un deportista conocido. Inteligentemente desarrollo un sitio Web que previamente había diseñado para mandar la dirección por mensaje directo al atacante. Evidentemente esta dirección solo la sabría él mismo y el atacante.

A los pocos instantes de enviarsela, obtuvo un acceso a esa Web (en blanco ya que la intención era localizar su IP). Automáticamente pudo geolocalizar la IP en un barrio de la ciudad en cuestión. Como esta investigación la llevaba las Fuerzas y Cuerpos de Seguridad del Estado en su área telemática, facilitó estos datos a la brigada correspondiente, pudiendo cercar muchísimo más el origen de la conexión.

Esta historia tan real como la vida misma, sirve de ejemplo para localizar al individuo con un poco de ingenio, llamado ingeniería social, que personalmente lo considero un arte ya que aquí no hay reglas técnicas ni ciencia exacta que te enseñen, sino ingenio.

Read more

Detectando un perfil falso en Facebook

¿A quién no le ha llegado una invitación en Facebook de un chico o chica (normalmente del extranjero), cuya foto suele ser bastante sugerente? ¿Nunca te has pensado quién es y para qué querrá ser mi amigo o amiga en Facebook? Si no te las hecho nunca en estos casos, es hora de que lo vayas haciendo. La respuesta es muy sencilla, puede ser un perfil falso en Facebook.

En la mayoría de los casos, salvo que te hayas ido de Erasmus y hayas tenido mucho éxito, se trata de un perfil falso que intenta ganarse tu confianza, añadiéndolo como amigo/a. Una vez ganado tu confianza, de forma automatizada tendrán lugar una serie de “ataques” de phishing, scam o invitación de aplicaciones maliciosas con el objetivo de provocar algún tipo de infección en tu equipo, robarte la cuenta Facebook o usarte para realizar algún tipo de transacción de dudosa legitimidad.

Una vez alertados sobre esta posibilidad, os voy a explicar una forma muy sencilla de detectar un perfil falso en Facebook. Para ello vamos a utilizar la foto de perfil del presunto perfil falso y a Google. Como se suele decir, Internet pone el problema, Google la solución (todavía estoy esperando alguna gratificación por parte de Google por la publicidad que le hago ;-).

Veamos un ejemplo: resulta que recibo la siguiente invitación de una tal Rosalind Booth que quiere ser mi amiga. Por el nombre, deduzco rápidamente que no es de Cádiz, así que empiezo a sospechar. Pasemos a ver su foto de perfil:

Rosalind Booth - Perfil falso

Rosalind Booth – Perfil falso

¿Tú también sospecharías verdad? Haces bien.

El siguiente paso es guardar la foto de su perfil, por ejemplo en el escritorio. Y ahora es cuando Google Imágenes entra en acción.

Abrimos Google > Imágenes y arrastramos la foto del perfil de nuestra “amiga” Rosalind al cuadro de texto de búsqueda de Google Imágenes, de la siguiente forma:

Perfil falso en Google

Perfil falso en Google

OK, ahora veamos los resultados de búsqueda de esta imagen.

Rosalind - Google Results

Rosalind – Google Results

Vaya! Parece que nuestra amiga Rosalind, también es conocida como Felita Grath, Raynell Fillmore y Alexis Rubin entre otras. Ha quedado claro que la foto del perfil se ha usado para muchos otros perfiles de Facebook y obviamente falsos.

Espero que os haya gustado, y por supuesto, que os pueda servir.

Saludos!

Dsploit: Pentesting con tu Smartphone

A día de hoy hay infinidad de herramientas para pentesting. El pentesting, es un vocablo inglés que viene a significar “Test de penetración”. Básicamente esta tarea las componen un conjunto de aplicaciones que realizan un determinado proceso. Todas juntas hacen una suite informática para testear nuestras redes.

Distribuciones como Backtrack, Kali Linux o Wifislax (basados en Linux) poseen en sus entrañas software para auditar todo tipo de sistemas informáticos.

Desde un simple y a la vez potente escaneo de puertos con nmap, hasta testear la fortaleza de nuestra red Wi-Fi. 

Todo esto, a su vez es realizado con dispositivos como portátiles, netbooks, ordenadores de sobremesa, servidores, etc… 

Pero hoy podemos ir más allá. Con el uso masificado ya de smartphones y tablets, tenemos en nuestras manos posibilidades muy interesantes para poner a prueba cualquier red de nuestra propiedad.

Para ello, hay una suite para Android llamada DSPLOIT, la cual permite multitud de opciones tan operativas como si estuviéramos ejecutando Backtrack o Kali Linux en nuestro portátil o equipo de sobremesa.

Obviamente todo depende la potencia de nuestro smartphone o tablet para ejecutar los procesos pertinentes a la hora de “probar” nuestra red.

dsploit

Read more

Wifi sin contraseña

Hace unos meses orienté un artículo para advertir del uso de redes Wifi sin contraseña. Planteé una serie de recursos para evitar que nos capturaran las sesiones de nuestras redes sociales así como se podrían robar credenciales a nivel general.

Pero hoy vengo a demostraros con “hechos” lo rápido y sencillo que es falsear una Web. Y es que es sumamente simple.

En el día de hoy y como nos pasa siempre a la gente curiosa como yo, probando una cosa terminas descubriendo otra y a su vez vas destapando pasos intermedios muy interesantes como este.

El objetivo es crear una Wifi libre, con salida a internet, para que algún alma errante deseosa de acceso gratuito a internet, caiga en los imanes de nuestro “perverso” plan (que poético xD).

Utilizaremos “Ghosts Phisher”, una aplicación que podemos encontrar/instalar en Backtrack 5 R3, o Wifislax 4.3.

images

Read more