Tag Archive for Privacidad

Oneplus. Envío de datos estadísticos. Solución.

Hace muy pocos días se publicaba en numerosos medios que un investigador, Christopher Moore, analizando mediante un proxy (ZAP) la conexiones de su teléfono vio algo que no le convencía. El terminal era del fabricante ONEPLUS. Terminales bastante extendidos y de características premium a coste razonable.

Una de las peticiones de su teléfono contenia parámetros un tanto extraños. Concretamente, estaba codificado en base64, y enviaba dichos parámetros a una URL del fabricante por lo que publicó un artículo demostrándolo. Tengo la “suerte” de tener un terminal de este tipo, un ONEPLUS 3T, y la verdad que es un terminal excelente. Como quería verificar esto, hice las mismas pruebas pero desde burpsuite y efectivamente, tal y como describe Christopher envía parámetros tales como el IMEI, señal del teléfono, cuando está encendida la pantalla, cuando apagada y demás detalles que huelen bastante mal.

A grandes males, grandes remedios. Busquemos la solución.

Read more

Auditando la red wifi de mi universidad

Dentro de este pequeño mundo de la seguridad informática he tenido la suerte de conocer a grandes personas, con las cuales he compartido más de un año de trabajo dentro del equipo de SVT y a los que estoy más que agradecido por el buen hacer que han tenido conmigo. Así que, queridos lectores, permitidme dedicar el post de hoy a esta familia, que se lo merecen en toda regla.

Hoy, como veremos, tenemos por delante un artículo un poco diferente de los que estamos acostumbrados, ya que el contenido relevante es un vídeo que grabé para la defensa de mi trabajo de final de grado. Éste, tiene por objetivo demostrar como era posible extraer las credenciales de los usuarios (alumnos y profesores) de la red eduroam de la Universidad de Lleida, mi antigua universidad.

En este caso, se trata de un hecho muy importante en referencia a los términos de seguridad, ya que la misma contraseña que se emplea para acceder a la red inalámbrica también se utiliza para acceder al correo, al campus virtual y a todo lo que deriva de éste, como puede ser el expediente o todo lo relacionado con las asignaturas, la entrega de prácticas y las notas e incluso, permite iniciar sesión en nombre de la víctima en cualquier máquina puesta a disposición del público. En breves palabras, la misma contraseña no simplemente permite acceder a los datos privados del usuario sino que también permite robar la identidad de la persona afectada, en todos los ámbitos.

Desde el punto de vista técnico, la red eduroam en cuestión, está configurada con cifrado CCMP (WPA2) y con una autenticación 802.1x, conocida coloquialmente como Enterprise, que en este caso emplea la propia autenticación a través del protocolo PAP dentro de un túnel TLS (TTLS/PAP).

Los puntos principales que se tratan en el vídeo son los siguientes:

  • Configuración del terminal Android para dicha red.
  • Motivo por el cual podemos realizar la suplantación de un punto de acceso legítimo.
  • Herramientas que podría utilizar un atacante y su correspondiente aplicación.
  • Análisis del entorno real.

Aquí tenéis el enlace del video:

Una vez publicado el vídeo, significa que el Departamento de Sistemas de la universidad me ha dado autorización para hacerlo. Esto es debido a que ya ha tomado las medidas oportunas para solventar la inconveniencia.

Sin más, espero que haya sido de vuestro agrado. Y recordad, averiguar la contraseña es simplemente un daño colateral. ¿Qué pasaría si nuestro punto de acceso falso diera por válida la autenticación del usuario, le ofreciera servicio DHCP y acceso a Internet? El usuario no lo notaría, ya que creería que está en la red legítima, pero nosotros tendríamos comunicación directa con su dispositivo, sin ningún tipo restricción, y además, sobre un escenario man in the middle (MitM). ¿Lo dejamos para otro vídeo? 😉

¡Saludos!

Ferran Verdés

Enlace del vídeo: https://youtu.be/XmKokmOYdV0

Sockets SSL en Python

Recientemente un lector del blog me contactó para pedirme, muy amablemente, si podía ayudarle a comprender los conceptos de implementación de sockets SSL en Python. ¡Por supuesto! Y como siempre, fiel a la humilde ideología de este blog, quedará aquí todo expuesto con el fin de compartirlo con todos vosotros e intentar ayudar a alguien más.

En primer lugar, vamos a ver un breve resumen del concepto de socket.

Dentro del ámbito de la programación, se utiliza el término socket para hacer referencia, principalmente, a las siguientes definiciones:

  • Socket (def. [1]): concepto abstracto por el cual dos programas, normalmente situados en computadoras diferentes, pueden intercambiar un flujo de datos a través de un canal de comunicación.
  • Sockets (def. [2]): en muchos casos la Network Application Programming Interface (NAPI) denominada BSD Berkeley Sockets se abrevia a Sockets. Se trata de una interfaz de trabajo que se utiliza para relacionar la capa de aplicación con la capa de transporte. Normalmente, este tipo de interfaces las proporciona el sistema operativo. A continuación, siguen otras NAPIs conocidas:
    • TLI, XTI (de AT&T UNIX System V)
    • Winsock (de Microsoft)
    • MacTCP (de Apple Computer)

Veamos una imagen representativa de estas:

NAPI en el Modelo TCP-IP Read more

Privacidad en la navegación (II)

El pasado Miércoles os traje un artículo de “Privacidad en la navegación”  donde se aconsejaban una serie de complementos para proteger nuestra navegación de rastreadores, publicidad y observar la reputación cada sitio con las herramientas citadas.

Como en estos temas toda configuración segura es poca, he creado este segundo artículo para otorgarle un extra más de “seguridad” a nuestro navegador. Hay que decir que me baso en Firefox porque es el que uso siempre y que desde hace años uso porque me da muy buenos resultados. O por manía, puede ser :P.

En este segundo post vamos a tratar otros tres complementos que suelo utilizar en mi día a día, trabajo, consultas, etcétera y que cuando te acostumbras a tenerlos es difícil prescindir de ellos. Estos complementos seguramente os suenen, son:

  • NoScript
  • ServerSpy
  • Certificate Patrol

PARTE2

Read more

Localiza a tu presa con Prey Project

Robo de móviles Android o iPhone, tabletas e incluso portátiles… hoy en día están aumentando cada vez más este tipo de delitos y son muchos los usuarios que nos piden ayuda para poder recuperar sus dispositivos por la importancia de la información que tienen en ellos.

En seguridad siempre solemos buscar remedio a las cosas cuando el daño ya está hecho. Con el artículo de hoy vamos a ver como podemos localizar a nuestra “presa”, para ello haremos uso de Prey Project, un servicio/herramienta que nos permite infinidad de posibilidades a la hora de monitorizar nuestros dispositivos.

Entramos en la Web de Prey Project y nos damos de alta con un correo electrónico, este nos servirá para entrar a nuestro panel de usuario donde monitorizar nuestros dispositivos.

prey01

Podemos añadir todo tipo de dispositivos, desde nuestros terminales móviles  (iOS o Android) hasta nuestros equipos de sobremesa o portátiles (Mac OS X, Windows o Linux). La versión gratuita nos permite monitorizar hasta 3 dispositivos. En nuestro caso hemos añadido dos terminales móviles y un portátil, todos ellos los podemos monitorizar desde nuestro panel de administración. prey02

Para añadir estos dispositivos en nuestro panel de control tenemos que instalar la aplicación en aquellos dispositivos que queramos monitorizar, por ejemplo en nuestro terminal Android, donde nos aparecerán muchos permisos que conceder a la App, pues con ella vamos a poder a acceder a toda la información que queramos del teléfono.

preyAndroid

Una vez dentro del panel de administración seleccionamos el dispositivo Android y vemos todas las posibilidades que tenemos.

prey03

Dentro de las opciones que tenemos hemos elegido la de Mapa y acciones, donde vemos en el panel de la derecha como podemos hacer sonar el teléfono, enviar un mensaje en pantalla, ocultar la App en el terminal o incluso bloquear el terminal con una clave, además de la geolocalización del terminal.

Una de las posibilidades más interesantes de este servicio es la posibilidad de Marcar como perdido, lo que hace que se nos envíen a nuestro correo electrónico constante información sobre donde está el terminal con información de longitud/latitud, redes que tiene a su alcance o incluso fotografías desde todas las cámaras del mismo.

prey04

Estos Reportes los podemos consultar a posteriori con muchísima información sobre nuestro terminal, la cual nos permitirá cazar a nuestra “presa”, incluso tener fotos de la misma.

reporte

Vemos como se nos ofrece información exacta de geolocalización con coordenadas del dispositivo, modelo, IMEI, IP pública desde donde se conecta a Internet, fotografías de las cámaras delantera y trasera e incluso la lista de redes que tiene el dispositivo al alcance.

Tenemos también opciones de ver los Informes de Actividad de los dispositivos, donde podemos hacer un seguimiento de todo lo que ha ido haciéndose desde el terminal (ubicaciones, redes a las que se conecta…)

prey05

Otro información importante que podemos obtener desde la opción Información de Hardware son datos como el IMEI o la MAC del dispositivo.

En definitiva, una herramienta en cuya versión gratuita nos brinda muchas posibilidades para recuperar nuestros dispositivos. Dentro de la versión de pago incluye mejoras en cuanto a recuperación remota de datos y otras opciones.

Existen otras herramientas en Android muy conocidas como puede ser Android Manager o Cerberus, las cuales pueden complementar a Prey Project en dar caza a nuestra “presa”.

Dar las gracias a Miriam García por enseñarnos de la existencia de esta herramienta, la cual es muy interesante que conozcáis.

Un handshake a todos y como ponen los chicos de Prey Project en sus mails:

Happy Hunting !!

@eduSatoe

“Cada dolor te hace más fuerte, cada traición más inteligente, cada desilusión más hábil y cada experiencia más sabio…”

PrivacyFix: Tu privacidad depende de la privacidad de los demás

¿Crees que eres dueño de tu privacidad? Redes sociales, portales de Internet, grupos de Whatsapp, aplicaciones móviles que solicitan muchos permisos… hoy día es muy difícil proteger nuestra privacidad, pues nuestra vida virtual está conectada con nuestra vida real.

¿Realmente controlas las fotografías que aparecen tuyas en las redes sociales, conoces aspectos tan importantes como la geolocalización, sabes qué aplicaciones móviles requieren los datos de tu teléfono…? En definitiva, ¿sabes qué información se publica de ti en Internet?

A día de hoy es imposible controlar nuestra privacidad al completo ya que nuestra privacidad depende de la privacidad de los demás, una foto en el teléfono de un amigo, un perfil de Twitter con geolocalización activada donde se te etiqueta en una foto, un perfil de Facebook público donde aparecen fotos de menores… Son algunos ejemplos de que no somos dueños de nuestra privacidad.

A continuación vemos algunos ejemplos de información sensible:

twitter

  • Geolocalización que guarda Gmail desde nuestra cuenta configurada en nuestro teléfono Android (¿Está tu cuenta de gmal entre los 5 millones de cuentas vulneradas hace unos meses? Ver aquí)

gmail

  • Perfiles públicos en Facebook con información sensible u obtenidos a partir de un número de teléfono móvil publicado en Internet (MilAnuncios, BlaBlaCar, etc).

facebook

Además de estos ejemplos, tenemos también un caso muy importante a tratar sobre la privacidad, concretamente de las fotografías que otras personas suben de nosotros a Internet, bien por redes sociales o chats. A continuación podéis ver un video donde se aclara perfectamente:

Como complemento a esta información podéis ver un artículo sobre El peligro de las Redes Sociales que publicamos hace unos meses.

Algunas de estas fugas de información se pueden evitar para proteger nuestra privacidad, tan sólo hay que configurar de manera correcta nuestras redes sociales, cuentas de correo u otros perfiles de usuario utilizados en Internet. Ahora esto es muy sencillo haciendo uso de la herramienta Privacy Fix de AVG.

¿Qué es PrivacyFix?

Privacy Fix es su panel de privacidad en línea. Este complemento para navegadores y app para dispositivos móviles realiza un análisis para detectar problemas de privacidad y te ayuda a configurar los ajustes para corregirlos.

Concretamente podemos llevar a cabo el fixeo de la configuración de los siguientes apartados:

  1. El seguimiento de navegación del usuario.
  2. Cuenta de Gmail.
  3. Perfiles de Twitter, Facebook y LinkedIn.

1. En la siguiente imagen vemos cómo podemos corregir fallos de privacidad respecto al seguimiento de cookies o widgets que rompan nuestra privacidad en Internet.

00privacyfix

A medida que vamos corrigiendo los diferentes ajustes veremos como la barra de proceso va avanzando.

2. El seguimiento que Google hace de nosotros conlleva entre otras cosas el almacenamiento del historial de búsqueda, cosa que podemos corregir. También el seguimiento de cookies por parte de anunciantes para poder ofrecernos sus productos independientemente de la Web que visitemos.

01google

3. Por último vamos a corregir nuestra configuración de seguridad/privacidad de nuestras redes sociales.

Dentro de Twitter podemos corregir varios aspectos que vemos a continuación.

02twitter

En la siguiente imagen vemos como PrivacyFix nos asiste para desactivar de manera correcta la geolocalización en los tweets.

02_1twitter

Dentro de Facebook podemos corregir varios aspectos que vemos a continuación.

03facebook

Dentro de LinkedIn podemos corregir varios aspectos que vemos a continuación.

04Likedin

Una vez que tenemos todos los puntos corregidos veremos la barra de proceso al 100%, lo cual quiere decir que los aspectos de privacidad de nuestras redes sociales y cuentas están bien configurados.

A medida que naveguemos por Internet podemos ver en la barra de navegación el complemento de PrivacyFix y consultar aspectos de privacidad sobre la Web que visitamos en ese momento.

panel

Espero que seáis conscientes de la importancia que tiene preservar nuestra privacidad en la red y lo que nos puede ayudar esta herramienta a ello. Para finalizar os dejo un video que puede darnos que pensar sobre el camino que lleva nuestra sociedad en relación al uso de las redes sociales y la importancia de las mismas:

Hasta la próxima y cuidar de vuestra privacidad porque de ella depende también la privacidad de los demás.

¡Un handshake!

@eduSatoe

“Antes de cambiar el mundo, da tres vueltas por tu casa”

Proverbio chino

Privacidad en Android

Tras los últimos descubrimientos mostrados en la BlackHat de Las Vegas nos damos cuenta que nuestra privacidad está muy a merced de las grandes compañías e incluso de los gobiernos. Es por ello que cuantas más sean las medidas que utilicemos para preservar nuestra privacidad, más difícil será que comercialicen con nuestros datos. Por ello vamos a tratar la privacidad en nuestro sistema Android desde varios puntos de vista:

-La privacidad en cuanto a los permisos que concedemos a las aplicaciones.
-La privacidad en cuanto a los datos que tenemos en nuestro teléfono.
-La privacidad en cuanto a las mensajes y llamadas.
-La privacidad en cuanto al acceso Web.

Privacidad controlando los Permisos

Son muchas las aplicaciones contenidas en Google Play que nos solicitan más permisos de los necesarios para poder comercializar con nuestros datos, tan solo tenemos que echarle un vistazo a los permisos que nos solicita la última actualización de Facebook o uno de los juegos de moda del momento.

01 Permisos Running Shadow

Una de las medidas de control de privacidad que introdujo Google en Android 4.3 (Jelly Bean) como característica oculta fue “App Ops”. Esta característica te permite el control de privacidad sobre tus aplicaciones, de manera que podamos activar o desactivar cada uno de los permisos que se adjudican a las mismas.

02 app ops

Google siguió mejorándola en la versión 4.4 (Kit Kat) hasta que en la 4.4.2 la hicieron inaccesible a usuarios finales y sólo podía ser utilizada para temas de depuración por los desarolladores de Google. Esta característica hizo eco en varios colectivos de desarrolladores y han ido apareciendo aplicaciones que la implementan.

03 - Lista App Ops

Otra de las apps que utilizan esta característica y es bastante famosa es XPrivacy, la cual está desarrollada por el grupo XDA. Para poder instalarla necesitaremos ser root e instalar el Xposed Framework.

04 - Privacy

La otra opción que tenemos es hacer uso de alguna ROM de Android que ya incorpore las opciones de privacidad. Esta ROM es CyanogenMod y el grupo de desarrollo ha llamado Privacy Guard 2.0 a la implementación de esta característica dentro del sistema. ¿Qué nos permite? Al igual que en los otros casos, controlar los permisos de las aplicaciones y avisarte cuando están intentando acceder a ellos. Otras posibilidades que nos ofrece es tener una lista negra de contactos para bloquear SMS/llamadas o cifrar SMS.

05 - Privacy Guard 2

Privacidad cifrando nuestros datos

Otro punto a tener en cuenta en cuanto a nuestra privacidad es el de cifrar aquellos datos que no queremos que sean accesibles a otras personas, caso de que nuestro terminal haya sido vulnerado o nos lo hayan robado. Para proteger estos datos sensibles existe una app gratuita llamada Cryptonite, está basada en EncFS y TrueCrypt; y nos permite trabajar con Dropbox, nuestras carpetas locales o incluso trabajar desde un terminal.

06 -Cryptonite

Privacidad en mensajes y llamadas

Para asegurar las comunicaciones tanto de mensajes de texto como de llamadas podemos utilizar dos aplicaciones.

La primera de ellas es Wiper, presente tanto para Android como para IOS, la cual es una aplicación de mensajería/llamadas donde se pueden enviar tanto mensajes escritos como de voz o archivos multimedia. La peculiaridad de esta app es que nos permite envío de mensajes a destinatarios y su posteriormente usando su botón de “Limpiar” no deja rastro de los mismos. Incluso si el destinatario del mensaje intenta hacer una captura de pantalla del mensaje o reenviarlo a terceras personas la app avisará al emisor del mismo. Con esta aplicación no quedan rastros en el servidor de nuestras comunicaciones.

07 -Wiper

La otra app es RedPhone, la cual nos ofrece un servicio de llamadas cifradas a través de VoIP haciendo uso de SRTP para cifrar las conversaciones y de ZRTP para negociar la clave privada que se utilizará para asegurar el canal. El código de dicha aplicación está disponible en GitHub para asegurarnos que ofrecen llamadas telefónicas seguras y cifradas. Dicha app también nos da servicio de TextSecure para cifrar nuestros mensajes de texto y enviarlos a través de un canal seguro.

08 - Red Phone

Privacidad en acceso Web

A la hora de hablar de privacidad en el acceso Web no nos queda otra que hablar de TOR. Nuestro objetivo no es presentar sus cualidades, porque ya existen muchos artículos escritos por la red y más ahora si cabe con los nuevos descubrimientos de la Black Hat 2014 sobre su posible vulnerabilidad a la hora de localizar los nodos que lo utilizan. Si queremos preservar nuestro anonimato navegando por la red o al menos ponérselo difícil a los malos, podemos usar la app para Android llamada Orbot donde además de la app disponible en Google Play debemos instalar su navegador Web Orweb.

09 - TOR

Con este conjunto de apps seguro que os sentiréis algo más protegidos, aunque ya sabéis que la seguridad 100% no existe.

Un handshake para todos !! @eduSatoe

El trabajo duro le gana al talento cuando el talento no trabaja duro” 

A. Jonak

Tus documentos en la nube, indexados.

En el mundo de Internet y de los buscadores, todos sabemos que la Indexación está a la orden del día. Google indexa millones de sitios Web. Todo lo que esté en la red y no tenga una política de “robots” estricta (y aún así) será “víctima” de la indexación. Esto obviamente es muy positivo para el posicionamiento SEO pero quizás no tanto para otros servicios.

¿Y qué servicios son esos? Servicios Cloud (En la Nube). Dropbox, Box, etc..

box_2 dropbox_2

Read more

WhatsApp: ¿Es realmente una aplicación segura?

A estas alturas, casi todos hemos usado aplicaciones de mensajería instantánea en nuestro smartphone como por ejemplo WhatsApp para comunicarnos con otras personas.

Pero, ¿Os habéis preguntado alguna vez si nuestros mensajes van cifrados? ¿Pueden ser vistos estos mensajes por otras personas sin nuestro consentimiento? En este artículo analizaremos la seguridad de la aplicación WhatsApp.

WhatsApp

Read more

Esteganografía. El arte de camuflar archivos.

Ya sabemos que el mundillo de la informática es bastante extenso. Puede tener cierto símil con la medicina pero obviamente esta última es abultadamente más compleja y por supuesto, los fallos repercuten directamente en las personas y no en cosas materiales como una red o equipos informáticos.

Pero lo que si queda claro es que, al menos en el mundo informático, nunca se sabe todo. Es un constante aprendizaje, y muchísima atención a los miles de parámetros y/o sucesos acaecidos diariamente, de los cuales, siempre se suele escapar alguno.

Por ello, la Esteganografía puede valerse de esto mismo para esconder ficheros dentro de imágenes por ejemplo.

Consiste puramente en ocultar archivos en imágenes. ¿Qué necesidad tengo de esto? Bueno, piensa que necesitas esconder ciertos ficheros de miradas indiscretas, o que tu equipo es usado por mas de una persona y hay ciertos ficheros que solo debes conocer su existencia. Dícese un fichero con contraseñas (que no se debería tener pero bueno).

¿Y cómo lo puedo hacer?

camuflar

Read more