martes, 26 de abril de 2016

Dos años de Heartbleed

En este més que nos deja, abril de 2016, se cumplieron dos años de la presentación en sociedad de Heartbleed, esa vulnerabilidad en OpenSSL que hace posible la fuga de datos de todo tipo. Quien se quiera refrescar la memoria, puede visitar su página oficial en http://heartbleed.com/ y recordar los viejos tiempos.

El caso es que "siete meses y pico después" de que Heartbleed fuera dado a conocer pude echar un vistazo y comprobar que aún había muchos equipos afectados por este problema. Pero, claro, veinticuatro meses ya son demasiados. A estas alturas, y con el impacto mediático que tuvo Heartbleed, es de suponer que ya no habrá prácticamente ningún equipo vulnerable.

¿O sí lo habrá?

Ante la duda, inicié sesión en Shodan y, aprovechando que este buscador analiza la vulnerabilidad de la que hablamos, hice la siguiente consulta:

vuln:CVE-2014-0160


... y me salieron al paso 189.593 resultados. Casi ciento noventa mil equipos vulnerables a fecha de hoy.



Posiblemente algunos de ellos sean resultados repetidos. Equipos que cambiaron de dirección IP, quizá porque sus ISP hacen asignaciones dinámicas. Cosa poco probable en un servidor bien asentado, sí, pero no todos los equipos localizados pertenecen a esa categoría. En cualquier caso, aunque pudiera parecer poca cosa, el número es suficientemente grande como para seguir dando juego, mucho juego, a quienes quieran jugar sucio.

Y demuestra que a las vulnerabilidades les cuesta morir.

Sin ánimo de dar lecciones a nadie, pero queriéndolo dejar claro a quien quiera oír: eso de "si funciona, no lo toques" hay que interpretarlo de forma correcta. SI UN SISTEMA ES VULNERABLE, ENTONCES NO FUNCIONA BIEN Y HAY QUE TOCARLO.

Digo esto porque me temo mucho que, si pudiéramos mirar, no ya en Internet sino dentro de las redes de empresas y organizaciones, nos encontraríamos unos resultados mucho más preocupantes. Al fin y al cabo, otra de las ideas que suelen decirse en voz alta es que "eso no es tan grave, porque no está expuesto al exterior".

No hace falta que tú lo hagas (3)

Como dije hace poco, son muchas las formas en que alguien puede obtener tu nombre y tu dirección. Puedes aparecer en Shodan (!), tener un negocio y usar tu vivienda como sede social y cosas por el estilo... e incluso aparecer en un listado de teléfonos. Por ejemplo, las páginas de información de Infobel han sido extensivamente indexadas por Google y permiten hacer búsquedas directas por apellidos, o por apellidos y nombre, como

site:infobel.com "Gomez"

O, si se desea evitar la información sobre empresas

site:infobel.com "Gomez" inurl:people"


Y muchas veces se obtiene resultados:

La conculta se puede hacer por direcciones o códigos postales (Infobel no les pone en sus páginas ningún tipo de punto separador) o incluso teléfonos (los dígitos aparecen agrupados de tres en tres), proporcionando la página localizada, en su caso, el resto de datos:

Otro sitio similar, en el que buscar con Google (sobre todo, con Google) o por el que navegar es OpenDi, el "directorio abierto", y su listín telefónico accesible a través de la URL http://tel.opendi.es/


De nuevo, aquí es posible añadir criterios de dirección, código postal, hacer búsquedas por teléfono (en los títulos, el número de teléfono aparece sin ningún tipo de separador ni código de país, ...

Sin ánimo de hacer una lista exhaustiva de servicios como éstos, mencionaremos aquí algunos más. Como http://es.411num.com/,  http://www.abctelefonos.com,  http://plusdireccion.es, todos ellos bien indexaditos por Google además de que puedan tener sus mecanismos propios de consulta.

O como http://blancas.guias11811.es, o http://guias11899.es, que no te dan directamente el teléfono sino que te indican que puedes obtenerlo llamando a un número de pago... cuando el teléfono figura en el código fuente de la página, de forma oculta a los seres humanos, pero no a los buscadores, permitiendo de nuevo esas búsquedas inversas tan nocivas para la privacidad.

O, finalmente como http://www.directoriotelefonico4.com, servidor que mis DNS no me resuelven pero cuya IP puede obtenerse mediante servicios online y que sigue operativo, indexado por Google y otros buscadores y accesible desde vaya usted a saber dónde para proporcionar a quién sabe quién datos de ciudadanos españoles.

Alguien, con preocupación por cómo esto afecta a la privacidad de las personas, se preguntará si hay mucha gente cuyos datos figuren en sitios como éstos.  A ver.... He buscado en Google 
site:infobel.com inurl:spain/people

Y me dice que tiene 1.770.000 resultados. Más de un millón y tres cuartos. Algunos menos serán y quizá no todo esté actualizado. Sí,  pero incluso así....

Finalmente, por poner unos listines de teléfonos del tipo "de toda la vida", citaré a https://www.axesor.es/GuiaTelefonica, o http://blancas.paginasamarillas.es que, aunque no están indexadas (¡bien!), tienen su propio buscador

Añadimos otro item a la lista de cosas que pueden andar por ahí incluso si tú nunca las pusiste en ningún sitio. Y, por ahora, tenemos:
  • DNI
  • Nombre y apellidos
  • Dirección
  • Características de tu vivienda
  • Teléfono
  • Tu proveedor de Internet
  • Tu dirección IP
  • Datos de tu router (lo que revele éste en sus respuestas: marca, modelo, ...)
Y, pronto, mas....

lunes, 25 de abril de 2016

No hace falta que tú lo hagas (2)

Sigamos con nuestra serie de posts sobre "no te molestes en poner tus datos online, que otro los harán por ti".

En el anterior se vio una de las múltiples formas en que nuestro nombre y apellidos, nuestra dirección, el proveedor de acceso a Internet que usamos, nuestra IP y otros detalles de nuestro router pueden quedar expuestos al público. Y no es poco.

Saber cuál es nuestra vivienda puede aportar a terceros datos sobre nuestro nivel y/o estilo de vida. Para empezar, las bastaría con echar un vistazo a la fachada y alrededores con Google Street View o similares. Pero se puede ir más allá. Mucho más allá.

En España, la URL de la Sede Electrónica del Catastro es
https://www.sedecatastro.gob.es/

... y entre sus servicios de acceso libre, aquellos que no requieren identificación, se encuentra la consulta de datos catastrales

Esta consulta nos permite, a partir de una referencia catastral o una dirección postal, obtener los datos "físicos" de un edificio o una vivienda. En otras palabras: una foto de la fachada, cuántos metros cuadrados tiene, cómo se reparten, si se trata de una vivienda unifamiliar o de un bloque de pisos y, en el último caso, qué porcentaje de propiedad del edificio corresponde, etc. 

En el apartado de "Cartografía" se puede acceder a la información geoespacial y a croquis básicos por plantas de los edificios en formato PDF. Ahí os dejo un ejemplo de vivienda "poco habitual". A ver si alguien adivina cuál:

Y si te cuesta aclararte con las direcciones, hay una herramienta llamada GoolZoom (http://es.goolzoom.com/) que integra datos del Catastro y de SigPAC con Google Maps:

Haces clic en un punto del mapa, te aparece la referencia catastral, haces clic en ella y... ¡listo!

Y ahora que saben cómo es tu vivienda... ¿Qué más pueden averiguar? Sigamos.

¿Has participado en alguna mesa electoral? ¿Quizá te pusieron una multa y te la tuvieron que notificar publicando en un boletín oficial? ¿Te han dado alguna ayuda, premio o beca? ¿Se publicó algún nombramiento tuyo para algún puesto de trabajo de una administración pública?

Si respondiste "SÍ" a alguna de las preguntas anteriores, es más que probable que tu DNI esté publicado en algún boletín oficial o en el acta de pleno de tu ayuntamiento o, si perteneces a alguna administración pública, quizá en el listado de asistentes a algún curso organizado por ésta:

En la imagen anterior, correspondiente a una mesa electoral, aparece incluso el nivel de estudios de la persona.

Bueno. Pues por ahora pueden saber de ti ya algunas cosas sin que tú las hayas publicado:
  • DNI
  • Nombre y apellidos
  • Dirección
  • Características de tu vivienda
  • Tu proveedor de Internet
  • Tu dirección IP
  • Datos de tu router (lo que revele éste: marca, modelo, ...)
Y esto acaba de empezar

domingo, 24 de abril de 2016

No hace falta que tú lo hagas (1)

Cada cual se toma la privacidad a su manera. Hay quien comparte su vida en directo sin problema alguno y quien, recelando o por precaución, desea proteger su intimidad y se manteniene al margen de cuanto huela a red social o a recogida de datos.

Pero la información es escurridiza y traviesa. Y, una vez que se genera, nadie sabe dónde podrá acabar. Empecemos con un ejemplo.

Si andas por aquí, seguro que habrás oído hablar de Shodan. "El buscador para la Internet de las Cosas". Una herramienta con la que es fácil localizar cualquier tipo de dispositivo: desde cámaras de videovigilancia a sistemas SCADA, pasando por servidores, routers o centralitas telefónicas.

Y, alguien tenía que decirlo, también personas. Para muestra, un botón: basta con inciar sesión en Shodan (si no, no tendrás acceso a filtros) y buscar algo como

gomez country:ES

... para localizar equipos ubicados en España que en sus respuestas a Shodan incluyeron el apellido "Gómez", bastante común por aquí:

Como puede observarse, se trata de un servicio FTP en cuyo banner aparece un nombre completo. Y no se trata de un caso aislado. Ocurre más con unas compañías que con otras, pero a veces los routers  (casi siempre se trata de routers) ofrecen un nombre de persona en su respuesta en protocolos como FTP, HTTP o HTTPS, SNMP, SMB, etc. 



Disculpad que oculte en este caso el ISP que da conexión a estas personas, pero no quisiera poner las cosas más fáciles de la cuenta a ningún desaprensivo.

¿Que quiénes serán esas personas? Creo que no hay que pensarlo demasiado antes de responder que, con bastante probabilidad, puede que se trate de los titulares de las conexiones de datos. En pocas palabras, en cada caso, el cliente a quien ese router da servicio.

Como puede observarse, a veces ponen el nombre completo. Otras omiten los apellidos y ponen la dirección. Otras... lo ponen todo. Para comprobarlo se puede navegar por los resultados de la consulta anterior o bien probar con una nueva como:

country:ES gomez c

... donde la letra "c" del final trata de localizar la conocida forma abreviada de la palabra "calle" en las  direcciones postales:

Supongo que quienes pusieron estos datos ahí pensaban: "¿y quién va a mirar lo que yo pueda consignar en los banners de las respuestas de estos protocolos?". Pues mira tú por donde...

¿Y para qué? Pues saberlo no lo sé, pero de lo que estoy seguro es que si alguna vez el servicio técnico de mi ISP me pide que les confirme mi nombre o mi dirección mientras están conectándose a mi router... me echaré a temblar.

Sea como sea, la moraleja de lo que llevamos visto es que, sin que tú hagas nada, tu nombre, tu dirección, el proveedor de acceso a Internet que usas, el router que tienes en casa y tu IP podrían ser cosa pública.

Y la cosa no acaba aquí...

viernes, 22 de abril de 2016

Tarjeta amarilla

Hay cosas curiosas.

Para acceder al correo electrónico ponemos contraseñas de ocho o más caracteres, con requisitos de complejidad cada vez más exigentes. Incluso hay quien las cambia regularmente. O, al menos, de vez en cuando. Y no falta quien se decide a utilizar la autenticación con dos factores.

Y después, cuando toca proteger el uso de la tarjeta bancaria, lo habitual es contentarse con un PIN de cuatro dígitos. Que lo normal es no cambiar nunca.

Sí, es cierto que lo normal es que la tarjeta quede bloqueada si se producen tres intentos fallidos. Pero eso no termina de convencerme de que un espacio de 10.000 (diez mil) contraseñas es lo suficientemente grande. Sobre todo porque, en materia de contraseñas y PINs, eso de la entropía no funciona como debiera.

DataGenetics publicó en 2.012 un intersante estudio sobre los PINs de  tarjetas bancarias más utilizados. Quien tenga interés en leerlo puede pasarse por:
http://www.datagenetics.com/blog/september32012/

Resumiendo mucho, la idea es que tendemos a elegir ciertos PINs, igual que nos pasa con las contraseñas. Vaya ahí una tabla de los más utilizados:

PIN PORCENTAJE
1234 10,713
1111 6,016
0000 1,881
1212 1,197
7777 0,745
1004 0,616
2000 0,613
4444 0,526
2222 0,516
6969 0,512
9999 0,451
3333 0,419
5555 0,395
6666 0,391
1122 0,366
1313 0,304
8888 0,303
4321 0,293
2001 0,290
1010 0,285


Con estos datos en la mano, se puede calcular que probando quince PINs se abrirían las puertas de casi una cuarta parte de las tarjetas que hay por ahí sueltas. Más aún, una sexta parte de las tarjetas tienen uno de los dos primeros PINs.

Y, aunque la información presentada en el artículo pudiera contener errores o basarse en una muestra no suficientemente grande, está claro que la tendencia está ahí.

De modo que un delincuente que dispusiera de una serie de tarjetas podría probar con ellas a través de Internet los dos PINs más comunes. Es le bastaría para conseguir operar con algunas de ellas. Para el resto... habría que esperar unos días. Los suficientes para que el legítimo propietario realizara alguna operación, introduciendo el PIN correcto con lo que el contador de errores se volvería a poner a cero. Y entonces se podrían probar otros dos códigos de acceso. Y repetir el proceso mientras sea rentable.

Condiméntese este procedimiento con el uso de técnicas y herramientas como una botnet con la que no levantar sospechas y el resultado podría ser devastador. Es la herencia que dejan los teclados de los cajeros automáticos, con su pinta de calculadora, nuestra tendencia a buscar cosas fáciles que memorizar y el que ahora tengamos en Internet aquello que antes sólo existía en el mundo físico.

Pero hace poco tuve una experiencia que me dejó más preocupado aún. Estaba yo en casa de alguien y llegó su pareja.

No. No me preocupó que llegara su pareja. Lo que me dio miedo fue la conversación que oí:
- Cariño, tienes carta de <póngase aquí el nombre de cierta entidad emisora de tarjetas>.
- Ah, sí. Es que metí mal varias veces el PIN y bloqueé la tarjeta. Así que pedí que me mandaran un nuevo PIN.
- Pues aquí tienes.

Saber que el PIN había viajado por correo ordinario ya me dejó boquiabierto. Pero lo mejor estaba por venir:
- ¡Ah, claro! ¡Éste era mi PIN!

Pedí que me lo confirmara y había entendido bien: No le habían cambiado el PIN. Le habían enviado por correo su PIN "de toda la vida". El que había estado usando hasta pocos días antes, cuando se equivocó y metió otro varias veces.

O sea: que la entidad emisora conoce el PIN de la tarjeta. Y que lo guarda en algún sitio en texto claro o, al menos, texto descifrable.

Y eso me da que pensar. Si tu PIN no es tu PIN, tu dinero puede dejar de ser tu dinero.

jueves, 31 de marzo de 2016

Efectividad de los Google Dorks. (Y Bing Dorks. Y Baidu Dorks. Y....)

Iba a titular este post "Por qué digo siempre lo que digo" u "Odio tener que decirlo, pero...". Pero al final creo que se impuso la cordura...

Vaya por delante que el proyecto Google Hacking Database (GHDB) me encanta. Ahora y también cuando lo llevaba personalmente Johnny Long en su web de Hackers For Charity. Lo considero un recurso interesantísimo y valiosímo para introducirse en eso del Google Hacking. Pero creo que le pasa lo mismo que al correo electrónico: lo usamos mal.

De entre las pocas ideas que tengo bien claras, una es que descargarte o aprenderte una lista de Google dorks (por poner un buscador) no te convierte en un hacker. Igual que subirte en un avión no te convierte en ingeniero aeronaútico. Igual que pasar un escaneo de vulnerabilidades con, por ejemplo, Nessus, no te convierte en un pentester.

Si no sabes cómo funcionan las cosas, sencillamente, eres un usuario. Lo cual, dicho sea de paso, tampoco es malo. Sólo que hay que tener claro en qué sitio se está.

Todo esto viene a cuento de uno de los problemas que le veo a la GHDB: los dorks se quedan anticuados con una rapidez que da vértigo. Quizá haya quien recuerde unos posts que escribí hace tiempo sobre fallos de diseño muy gordos, entre los que se contaba la ejecución de consultas SQL proporcionadas como parámetros GET en la URL. La mayoría, seguramente no, de modo que ahí van:
By Design (1)
By Design (2) 
  
En el segundo de ellos mostraba el dork que había utilizado para localizar un buen número de páginas con el mismo problema. Vuelvo a poner la imagen:

6.180.000 resultados. Vale que Google, en el mejor de los casos, va a proporcionar sólo 1.000 de ellos. Pero es que si hoy, quince meses después, ponemos lo mismo:

¡Sólo 4! Al menos eso me sale a mí. Al final aparece el típico mensaje diciendo "Para mostrarte los resultados más relevantes, hemos omitido algunas entradas muy similares a las 4 que ya se muestran. Si quieres, puedes repetir la búsqueda e incluir los resultados que se han omitido. "

Hago clic en él y entonces me aparecen sólo 3. Google sabrá por qué.

Una vez que se publica un dork, la gente empieza a protegerse de él. Piden que se cursen bajas de sus URLs en los buscadores, ajustan sus robots.txt, etc. Y los buscadores, una de cuyas materias primas son los sitios web, también ponen de su parte.

En todo caso, la drástica reducción del número de resultados no se debe a que no haya contenidos indexados. Porque cambiando ligeramente el dork sí que salen un montón

Las dos primeras son ese "ruído documental" del que a veces hablo. Cosas que uno eran lo que uno iba buscando pero sí aparecen en los resultados. Pero a partir de ahí tenemos una gran cantidad de positivos de los buenos.

Así de interesante es el comportamiento de los buscadores y por eso me gustan. De modo que a estas alturas me sorprende poco que otras búsquedas parecidas no obtengan ninguna respuesta:

... no obtenga resultados. Ni tampoco que me aparezcan cuatro si al dork original le añado algún dominio y que, al hacer clic en el enlace para que me muestre todos los resultados, aunque sean muy parecidos, puedan listarse ahora miles:

Ni tampoco me asobraría de que a tí te aparezcan otras cosas distintas. Cuando tratas con sistemas tan complejos todo es posible.

martes, 29 de marzo de 2016

Palabra de Hacker

Bueno, pues creo que ya es oficial.

El próximo martes, 5 de abril de 2016, a las 22:00 horas (horario español, si no me equivoco), habrá un ciberdebate sobre OSINT y Hacking con Buscadores organizado por el canal "Palabra de Hacker". Puedes obtener más información en su web:
http://www.yolandacorral.com/palabra-de-hacker/

Así como en las páginas de Youtube del canal y del evento:
https://www.youtube.com/channel/UCcyWP9LAiT1MnG6T6Lf5a2A

https://www.youtube.com/watch?v=bcJ_TEQtORE

Que sepa hasta ahora, participarán gente tan interesante y relevante como  Rafael Otal, Vicente Aguilera, Jhon Jairo Hernandez y  Miguel Cotanilla 'Cota'.

Y, aunque aún no haya tenido tiempo de agradecérselo lo suficiente a Yolanda Corral, la organizadora, coordinadora y moderadora de todo esto, también yo.

Nos vemos...