jueves, 31 de marzo de 2016

Efectividad de los Google Dorks. (Y Bing Dorks. Y Baidu Dorks. Y....)

Iba a titular este post "Por qué digo siempre lo que digo" u "Odio tener que decirlo, pero...". Pero al final creo que se impuso la cordura...

Vaya por delante que el proyecto Google Hacking Database (GHDB) me encanta. Ahora y también cuando lo llevaba personalmente Johnny Long en su web de Hackers For Charity. Lo considero un recurso interesantísimo y valiosímo para introducirse en eso del Google Hacking. Pero creo que le pasa lo mismo que al correo electrónico: lo usamos mal.

De entre las pocas ideas que tengo bien claras, una es que descargarte o aprenderte una lista de Google dorks (por poner un buscador) no te convierte en un hacker. Igual que subirte en un avión no te convierte en ingeniero aeronaútico. Igual que pasar un escaneo de vulnerabilidades con, por ejemplo, Nessus, no te convierte en un pentester.

Si no sabes cómo funcionan las cosas, sencillamente, eres un usuario. Lo cual, dicho sea de paso, tampoco es malo. Sólo que hay que tener claro en qué sitio se está.

Todo esto viene a cuento de uno de los problemas que le veo a la GHDB: los dorks se quedan anticuados con una rapidez que da vértigo. Quizá haya quien recuerde unos posts que escribí hace tiempo sobre fallos de diseño muy gordos, entre los que se contaba la ejecución de consultas SQL proporcionadas como parámetros GET en la URL. La mayoría, seguramente no, de modo que ahí van:
By Design (1)
By Design (2) 
  
En el segundo de ellos mostraba el dork que había utilizado para localizar un buen número de páginas con el mismo problema. Vuelvo a poner la imagen:

6.180.000 resultados. Vale que Google, en el mejor de los casos, va a proporcionar sólo 1.000 de ellos. Pero es que si hoy, quince meses después, ponemos lo mismo:

¡Sólo 4! Al menos eso me sale a mí. Al final aparece el típico mensaje diciendo "Para mostrarte los resultados más relevantes, hemos omitido algunas entradas muy similares a las 4 que ya se muestran. Si quieres, puedes repetir la búsqueda e incluir los resultados que se han omitido. "

Hago clic en él y entonces me aparecen sólo 3. Google sabrá por qué.

Una vez que se publica un dork, la gente empieza a protegerse de él. Piden que se cursen bajas de sus URLs en los buscadores, ajustan sus robots.txt, etc. Y los buscadores, una de cuyas materias primas son los sitios web, también ponen de su parte.

En todo caso, la drástica reducción del número de resultados no se debe a que no haya contenidos indexados. Porque cambiando ligeramente el dork sí que salen un montón

Las dos primeras son ese "ruído documental" del que a veces hablo. Cosas que uno eran lo que uno iba buscando pero sí aparecen en los resultados. Pero a partir de ahí tenemos una gran cantidad de positivos de los buenos.

Así de interesante es el comportamiento de los buscadores y por eso me gustan. De modo que a estas alturas me sorprende poco que otras búsquedas parecidas no obtengan ninguna respuesta:

... no obtenga resultados. Ni tampoco que me aparezcan cuatro si al dork original le añado algún dominio y que, al hacer clic en el enlace para que me muestre todos los resultados, aunque sean muy parecidos, puedan listarse ahora miles:

Ni tampoco me asobraría de que a tí te aparezcan otras cosas distintas. Cuando tratas con sistemas tan complejos todo es posible.

martes, 29 de marzo de 2016

Palabra de Hacker

Bueno, pues creo que ya es oficial.

El próximo martes, 5 de abril de 2016, a las 22:00 horas (horario español, si no me equivoco), habrá un ciberdebate sobre OSINT y Hacking con Buscadores organizado por el canal "Palabra de Hacker". Puedes obtener más información en su web:
http://www.yolandacorral.com/palabra-de-hacker/

Así como en las páginas de Youtube del canal y del evento:
https://www.youtube.com/channel/UCcyWP9LAiT1MnG6T6Lf5a2A

https://www.youtube.com/watch?v=bcJ_TEQtORE

Que sepa hasta ahora, participarán gente tan interesante y relevante como  Rafael Otal, Vicente Aguilera, Jhon Jairo Hernandez y  Miguel Cotanilla 'Cota'.

Y, aunque aún no haya tenido tiempo de agradecérselo lo suficiente a Yolanda Corral, la organizadora, coordinadora y moderadora de todo esto, también yo.

Nos vemos...

martes, 31 de marzo de 2015

Actualiza el baloncesto

Hoy me comentaba un compañero una noticia, cuanto menos curiosa.

El desarrollo de un partido de baloncesto de la segunda división alemana había sido afectado por una actualización de Windows.

Es el último encuentro de la temporada. La permanencia en juego. Y, antes de empezar el partido, el ordenador que controla el marcador se queda tonto. Hay que riniciarlo y, cuando lo hacen, les sale un mensaje que indica que las actualizaciones de Windows están siendo instaladas.

Posiblemente la conexión a Internet era lenta. El caso es que el proceso llevó unos 20 minutos y el partido empezó con 25 de retraso. Al final, el equipo de casa gana y se salva... hasta que los visitantes presentan alegaciones. El reglamento dice que los partidos no pueden retrasarse más de 15 minutos y se sanciona a los locales con una penalización de 1 punto.

Ese punto hace descender al equipo. Los detalles pueden encontrarse en numerosas páginas de Internet. Una de ellas puede ser:

http://arstechnica.com/business/2015/03/german-pro-basketball-team-relegated-to-lower-division-due-to-windows-update/


Aparte de lo conveniente que habría sido tener un ordenador de recambio, por eso de "mejor un por si acaso que un yo creía", lo primero que se me ocurre es "¿Por qué es necesario que un ordenador que controla un videomarcador tenga conexión a Internet?". Eso ampía mucho su exposición a riesgos. Se me viene a la cabeza cuando cierto hospital tuvo parados sus equipos de Rayos-X por culpa de un virus (http://en.wikipedia.org/wiki/Sasser_%28computer_worm%29). Y, si realmente hacía falta, "¿Por qué no se fuerzan todas las actualizaciones a primera hora, antes de un evento como éste?".

Eso, mirando el tema desde el punto de vista de un buen tipo. Porque para los malos también hay en qué pensar. Si el equipo tenía conexión a Internet... ¿la tiene también el videomarcador?  Seguro que hay a quien se le ocurran cosas interesantes que hacer con él.


miércoles, 25 de marzo de 2015

Recursos de la charla de la UMA Hackers Week de 2015

Ayer, 24 de marzo, di una charla en la UMA Hackers Week. Como comentaba el otro día, sobre Cross Site Scripting, Clickjacking, Cross Site Request Forgery y temas afines.

Si fue buena o mala... que lo digan quienes la disfrutaron o sufrieron. Supongo que de todo habrá. Pero para ella utilicé una serie de recursos que quizá pudieran ser de utilidad a quienes quieren tener con qué jugar y quisiera irlos colgando por aquí.

Para empezar, ya subí las slides a Slideshare. Quien haya asistido a alguna charla mía o me haya tenido como profe sabrá que las presentaciones me gustan poco. Que apenas las uso para las introducciones y algunos puntos que quiero resaltar. De modo que tampoco puede esperarse mucho de ellas. En todo caso... ahí va:



(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015 


Claro que esta presentación tan cortita no vale gran cosa si no va acompañada de las demos. En algún caso, las diapositivas dicen casi lo contrario de lo que yo quería expresar, como cuando habla de la "protección" que el uso de scripts puede ofrecer contra las técnicas de Clickjacking. En la diapositiva aparece, pero una demo posterior dejará claro que no es una solución demasiado fiable...
 
Ahí van la aplicación vulnerable y las demos:
 
Hay un botón que pone "Download ZIP" que permite bajárselo todo de una vez. Dentro hay un fichero PDF con instrucciones. Así que, quien tenga ganas... ¡a jugar y a mirar código!
 
Acabo de subirlo y no he podido comprobar que todo está correcto. Si veo algo raro, lo indicaré por aquí.
 
Y, ojo, que de la aplicación sólo se puede aprender cosas malas. Tiene todos los defectos y vulnerabilidades que pude ponerle. Incluso los ataques tienen sus propios fallos de seguridad... Resumiendo: que nadie la instale en un entorno de producción. Ni tampoco en cualquier otro sistema que no quiera ver comprometido. Lo suyo es una máquina virtual o un PC que vaya a ser formateado después de las pruebas.


Saludos

jueves, 19 de marzo de 2015

El correo fraudulento no para. Y a veces mejora.

Últimamente me han mostrado unos cuantos mensajes fraudulentos que traen un regalito en un fichero adjunto.

Todos los que he visto declaran como remitente a una cuenta de yahoo.es. Pero la cuenta varía de mensaje a mensaje. El asunto es del tipo "Documentacion" o "Re:documentacion urgente" y el cuerpo contiene el siguiente texto:
"
Gracias

Pero necesito todos los docuementos

ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es
confidencial y se dirige exclusivamente al destinatario previsto. Si usted ha
recibido el mensaje por error, por favor, notifiquelo al remitente y borrelo sin
copiarlo grabarlo ni distribuirlo.
"

El camino que este tipo de mensajes dice haber recorrido suele ser curioso y siempre es bueno mirarlo:

Received: from [182.48.86.114] (helo=ip-182-48-86-114.colology.com)
    by XXXXXXXXXXXXXXXXXXXXXXXXXXX
    (envelope-from <unprofitablezx2@terra.es>)
    id xxxxxxxxxxxxx
    for destinatario@example.com; Wed, 18 Mar 2015 09:47:33 +0100
Received: from [183.78.30.37] (account newfoundlandsy796@terra.es HELO xryizwv.cgwnh.ua)
    by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 593108774 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Received: from [149.19.90.90] (account newfoundlandsy796@terra.es HELO zeggfdw.frhuevgsjzsdlfg.ua)
    by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 633915718 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600


Como cada servidor de correo por el que pasa el mensaje puede poner sus propias cabeceras (e incluso podría cambiar las que recibe), las cabeceras "Received" van perdiendo fiabilidad y credibilidad a medida que van apareciendo. Yendo al primer salto fiable, el correspondiente a cuando el mensaje entró en el dominio del receptor del correo, el mensaje procede de la IP 182.48.86.114, identificada como ip-182-48-86-114.colology.com. Esta IP pertenece a la AS58715, de EARTH TELECOMMUNICATION, compañía ubicada en Bangla Desh. El dominio colology.com tiene IPs correspondientes también a EARTH TELECOMMUNICATION.

Hasta ahí parece que el mensaje llegó desde dos direcciones. La primera de ellas, 183.78.30.37, ubicada en Malasia y la segunda, 149.19.90.90, norteameriacana.

En ambos casos, el saludo entre servidores hace referencia a nombres de equipo pertenecientes a dominios de Ucrania (.ua), xryizwv.cgwnh.ua y zeggfdw.frhuevgsjzsdlfg.ua. A estos se puede añadir el nombre de dominio owdxggvmp.ua, también sin registrar, que aparece en el Message-Id:

Message-ID: <ECEa1BDFfcCD7b.4Ee3A0b5.CE775972A0@trslbwzjclcnw.owdxggvmp.ua>

En todos estos casos, por las consultas que he podido hacer, los dominios no existen. Ni tampoco responden a ping ni a los intentos de acceso SMTP realizados las IPs de los servidores mientras escribo esto. Y ambas están en alguna lista negra de SPAM.

En las cabeceras aparecen dos cuentas de terra.es:
- newfoundlandsy796@terra.es, en cabeceras "Received"
- unprofitablezx2@terra.es, en el "Return-path":
Return-path: <unprofitablezx2@terra.es>

El uso de nombres de dominios .es a la hora de enviar SPAM a personas cuyo idioma es el español apunta a un SPAM bien planeado y dirigido.


Y también lo hace el texto, con su buena redacción. Sobre todo cuando lo habitual es encontrarse con la típica traducción automática.

Lo que rompe toda esta corrección es la falta de tildes en el asunto y el cuerpo del mensaje. Eso y una falta, ya sea de ortografía o de mecanografía: "docuementos" por "documentos". Lo de las tildes apunta a alguien cuyo idioma que carece de ellas. Quizá a un teclado en el que son imposibles o difíciles de poner o quizá al miedo a que los servidores tengan problemas con caracteres extraños.

Y, por ir acabando, un adjunto con el nombre "documentacion_2015.03_doc.zip". Un archivo comprimido cuyo contenido es otro fichero llamado "documentacion_2015.03_doc.doc.exe". Los viejos trucos de la doble extensión y el nombre de fichero muy largo que a veces consiguen que el usuario no sepa sobre qué clase de cosa hace doble clic. Ni que decir tiene que de hacerlo estará metiendo algo no recomendable en su equipo...

Si por algo destaca esta campaña de distribución de malware es por lo bien diseñada que está, no desde el punto de vista meramente técnico sino desde el de la Ingeniería Social. Lo cuidado del mensaje (salvo por las tildes y un errorzuelo que a cualquiera se le cuela de vez en cuando) que hasta lleva la típica coletilla de "ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es confidencial y se dirige exclusivamente...". Y cómo encaja con una comunicación administrativa típica en la que siempre te piden más documentos y en la que, casi siempre con enfado, te preguntas ¿y éste qué quiere ahora? mientras tratas de averiguarlo.


La moraleja es que si los malos mejoran en algún campo, los buenos también tenemos que hacerlo. Si ellos usan técnicas de ingeniería social más efectivas, nosotros debemos contrarrestarlas también en el campo humano y social. No limitarnos a poner en funcionamiento unas salvaguardas técnicas que no siempre contrarrestan las nuevas amenazas. Ir al cuerpo a cuerpo con los usuarios finales y trabajar en su formación y concienciación.


Y aprender mucha Ingeniería Social. Porque ésta enseña a convencer y motivar. Porque convencer y motivar a usuarios y directivos ayuda en nuestro trabajo. Ayuda mucho.



martes, 3 de marzo de 2015

UMA Hackers Week

Estos últimos meses el blog ha estado de lo más solitario. Y no por falta de cosas que contar.

Para empezar, anduve liado con la tercera versión del libro "Hacking con buscadores". Y es que, con el paso del tiempo, había muchas partes de él que había que actualizar. Que reescribir a partir de cero. Alguien tenía que hacerlo y, como autor, a mí me correspondió la tarea.


Mientras tanto, he estado jugando con vulnerabilidades en la parte cliente de aplicaciones web. Ya  se sabe: XSS, CSRF, Clickjacking y similares. Cosas que en algunos casos puedo publicar (y espero hacerlo) y otras que, al menos por ahora, debe uno callarse por eso de esperar a que los problemas estén resueltos antes de soltar el toro.

Y en esas estaba cuando la organización de la UMA Hackers Week se puso en contacto conmigo. Se trata de un evento organizado en la Universidad de Málaga que se celebra este año (2015) del 23 al 26 de marzo y en la que, quizá con la excepción de mi persona, participa gente de lo más interesante y se proponen entretenidas actividades .

Allí, salvo catástrofe, estaré el martes 24 con una presentación sobre estas vulnerabilidades incomprendidas y subestimadas. Si alguien quiere pasarse, sólo tiene que registrarse. ¡Y es gratis!. La URL es:
http://hackersweek.com/

... y, para apuntarse a mi charla:
http://hackersweek.com/actividad/seguridad_en_componentes/

Echad un vistazo por la web, que seguro que algo interesante encontraréis.

Os espero...


jueves, 11 de diciembre de 2014

BlackSEO Detector

Sé que uno no escribe en estos lares tanto como debiera.

Por otro lado, me resisto a poner eso de "a partir de ahora publicaré cosas aquí más a menudo". Demasiadas veces he sido testigo de como un blog o una página desaparecían algunos años después de un último post en el que se decía precisamente eso.

En fin, que mientras tenga algo que contar seguiré pasando por aquí y dejando unas líneas. Hoy vengo con un proyecto que me ha tenido ocupado últimamente: Se llama BlackSEO Detector y es heredero de una cosa antigua a la que llamé en su día Bluefinder.

¿Tienes un sitio web? Entonces tendrías que tener también un montón de preocupaciones. Y una de ella es el de los ataques motivados por el posicionamiento en buscadores.

Dicho en pocas palabras: hay quien considera que cuantos más enlaces apunten a sus páginas web, mejor posicionadas quedarán éstas en las páginas de resultados de Google, Bing y otros buscadores. Y hay gente que para consegirlo no repara en los medios: si hay que entrar a un sitio web y modificarlo sin autorización para colarle los enlaces... se hace y listo.

Las técnicas utilizadas en estos ataques son variadas y a veces curiosas. Hace algún tiempo, Chema Alonso y yo publicamos un artículo llamado Técnicas SEO para gente de moral relajada en el que se presentaba una serie de ejemplos. Entre las cosas que más llamaban la atención estaba el uso de cloaking forzado: hacer que las páginas se comporten de forma distinta o varíen sus contenidos dependiendo de quien la visita y cómo lo hace.

Para detectar el uso de estas técnicas es necesario buscar en los sitios web por cosas que no deberían estar ahí: quizá referencias a ventas irregulares de fármacos o réplicas de productos de marca, quizá ventas de productos no relacionados con el sitio web, quizá juego online o porno.

Si se encuentra algo, habría que mirar (eso sí, con mucho cuidado que quizá el sitio, aunque no sea de ellos, esté bajo control de ciberdelincuentes) si los contenidos aparecen cuando se pide la página de la forma habitual. Y también si se usa el User-Agent o el referer de un buscador. Incluso puede ser de ayuda hacer el acceso a través de un traductor de un buscador para que la petición llegue desde una IP perteneciente a éste.

Es un proceso que puede resultar largo y lento. Además es de esas cosas que un programa puede hacer con poca intervención humana. Y ahí está BlackSEO Detector para encargarse de ello.

Ahí os dejo el enlace al microsite donde se puede obtener más información sobre la herramienta y descargarla:
https://sites.google.com/site/blackseodetectortool

El sitio está aún en elaboración y la documentación de la herramienta todavía está poco elaborada. Espero poder ir publicando ejemplos de uso que sirvan de ilustración.

Una última cosa: si alguien quiere usar BlackSEO Detector, necesitará tener Ruby. Yo hice las pruebas con la versión 2.1.3p242 para Windows del intérprete de este lenguaje.

Saludos.