Martes, 14 de Noviembre de 2017: ¿Cual es tu mejor hackeo?

Querido diario…

Ya tengo amigos, y me llevaron al cine… y a comer. Tengo un amigo, bueno… hay que guardar las identidades de todos.. pero tengo un amigo pipope, un veracruzano, una regia, una paraguaya, dos bogotanas y una argentina. y hoy comiendo les expliqué básicamente como me ganó la vida. Ósea no justamente la parte fea donde tengo que pasar varios de cocaína de un país a otro, sino lo que hay detrás y a lo que hace mucho tiempo me dedicaba… vulnerar sistemas.

Y les hice una simple demostración en donde entré a un CMS interceptando las credenciales de uno de ellos. De lo más simple, luego les expliqué como podía saber la posición exacta de una persona a través de un web service, comprometiendo su celular con un SMS. ¡Básico!.

Unos sushis más tarde, creo que mis nuevos amigos me tenían un poco de miedo. Nunca he entendido eso, los amigos no se hacen cosas malas, así que no tendrían porque preocuparse, yo jamás les haría algo. Pero ellos estaban asustados, y una de ellas me preguntó.

– Oshe pibe, deja ver se entendo; eres jodido pelotudo que haces todo de todos, podrías sacarme mis nudes del Tinder y contarle a todos mis secretos. Pero, ¿alguna vez has hecho algo bueno con todo eso?, ¿algo que la gente diga wow, el vendetta, jodido boludo que bueno que estaba aquí?.

Y recordé que si, en efecto… una vez hice algo bueno.

Corrían los años del 2013, yo trabajaba como pentester en el área de consultoría de una empresa de data centers en México. De pronto un cliente pidió hacer una consulta y me mandaron a mi; realmente no sabía ni que querían, a veces pensaba que era un incidente, tal vez dimensionar un proyecto, no tenían idea.

Me comuniqué con el cliente y me dijeron si podía recuperar una contraseña de Facebook, teoricamente un profesionista no debiese hacer eso; pero ya estoy tan acostumbrado que dije “claro que si, sin problemas”. Al día siguiente tomé el autobus a la ciudad donde debía de realizarlo y me fui.

Un día antes le pedí ciertas cosas: un servidor con Backtrack (en ese entonces aun no era Kali) y una dirección IP homologada. Mi idea, simple.. montar un SET con Facebook y atraer a la víctima, ¿qué podía salir mal?.

Al llegar a las oficinas me di cuenta que el cliente no era cualquiera cliente, era una agencia de inteligencia. Entré y me llevaron al site donde estaba el servidor; me pusieron una cámara al lado y me empezaron a grabar. Era algo extraño, pero seguí trabajando. De pronto escuché un grito y entró un tipo medio de avanzada edad muy algo y gordo, me jalo del cuello y gritó:

– ¡Traíganme a ese hijo de la chi&%/( para acá!

Las personas que me habían recibido, que hasta donde sé eran como los encargados de sistemas, se disculparon por el comportamiento del tipo y me llevaron a una oficina donde estaba allí sentado. Me miró, me hizo una seña para que me sentase, se sentó y sacó una pistola que pusó de forma firme en el escritorio que nos separaba.

– ¿Quién chin&/( eres tú que le moviste algo a mis servidores?

Como consultor amable le intenté explicar lo que estaba haciendo a lo que sólo me grito varias cosas que no puedo escribir; luego me empezó a preguntar algunas cosas a modo de control, y cuando pudo verificar que yo realmente era quién decía ser, me dijo:

– Bien, te voy a explicar el problema.

La situación era está. Me encontraba en un área de inteligencia del estado; había un tipo que enamoraba niñas, las secuestraba, las violaba, las descuartizaba, guardaba todo eso en vídeo y luego lo vendía en la deep web. Ya llevaba varias víctimas y unos días antes había secuestrado a una niña de 16 años; así que mi misión era hacerme pasar por su hermana y obtener el password de algo que me persistiese obtener su ubicación.

¿Era complicado?, bueno en realidad relativamente pero todo se volvía complejo. No era lo mismo estar intentando obtener una contraseña cuando sabes que si no encuentras nada bien, porque el cliente está seguro y se la encuentras, igual bien porque demostraste que estaba inseguro; a que de tus acciones dependa la vida de alguien.

En ese entonces yo no estaba envuelto en problemas como los actuales; era una persona normal con un empleo normal.

Al final lo conseguí, si usé SET, me hice pasar por la hermana de la niña secuestrada y mandé una imagen por el chat de Facebook. Hoy en día cuando se manda una imagen por el chat de Facebook se carga la imagen al servidor y obvio tiene una ruta diferente; en ese entonces no, se copiaba el link, se precargaba y hacia la petición hacia la imagen original. Por lo que obtuve la IP y pude dar una localización aproximada que mediante técnicas policiales sirvieron para encontrar al tipo.

No, la historia no acabó bien, la niña no se puedo salvar, pero al menos se evitó que volviese a pasar; y el tipo fue capturado. Cuando me fui de la oficina del cliente estaba dandole unos tehuacanazos y con el fiscal inventando una historia coherente para poder justificar que estuve realizando acciones ilegales para encontrarlo.

El general me invitó unos tacos de carnitas; uno de los agentes me preguntó como modificar el fstab en Linux. Y tomé mi autobus para regresar a la ciudad. Una semana más tarde renuncié y me fui a vivir a Aguascalientes.

Fue un proyecto raro, pero probablemente es una de las pocas veces en las que algo que hice tuvo un impacto positivo.

Sé que he hecho muchas cosas malas y no se compensa, pero podría hacer cosas buenas, sólo… supongo mi destino es hacer todo mal.

Cuando platiqué eso mis amigos dijeron “wow”, y sólo dije “si, wow… pero, mira.. tengo tu password”. Se rieron y pensaron que había sido broma mi historia. No lo había sido, pero creo que es mejor… soy vendetta, yo siempre soy mala persona.

Jueves, 2 de Noviembre de 2017: Tal vez debiese huir

Querido diario… ¿cómo te imaginas a un hacker?

Hum.. bueno, mal ejemplo. Usualmente te los imaginas con computadoras Lenovo, con un montón de máquinas virtuales, ejecutando OpenBSD, una playera de Hacker Stickers, tal vez la de Jonny Pancakes, todo el shell, tal vez usando Fluxbox o algo así…

¿Cómo se imaginas a un bug bounty hunter?

Hum.. ahora que lo pienso, si… el swides ninja (nunca se como escribir eso), es un buen ejemplo… casi todos los bug bounty hunters que conozco se ven como él.

¿Cómo me veo sho?…

Bien, aquí es cuando me dices “joven, tenemos problema” </voz_lalo>

El día de ayer me puse a configurar una computadora que voy a dejar olvidada en el aeropuerto de El Dorado, la idea es conectarla a la red y esperar a que la ataquen; ¿para qué?… oh, con calma, ya lo sabrás.

Mi idea fue configurar Damn Vulnerable Web Application, una aplicación hecha en PHP para que la gente aprenda sobre el TOP 10 de OWASP. DVWA está hecha en PHP 5 y requiere de algunas librerías como GD y también usa MySQL. Para librarme de todos los problemas y debido a que esto tiene que ser muy vulnerable lo más apropiado era usar Linux, Churrubuntu en especifico.

Churrubuntu a cambiado mucho, aun recuerdo las versiones 4.x donde te llegaba un CD y decían que estaba pensado para computadoras de bajo rendimiento. Bueno… olvídate de eso; 2 GB de RAM, 80o GB de Disco Duro y esa cosa no arrancaba en su instalación más simple. Adíos.

Pasé a algo más profesional y de machos, Debian. Lo instalé, aquí arrancó perfecto con 512 de RAM, y la instalación me ocupo apenas 1 GB ya con Gnome (qué aunque Jajotheclown diga que no, ¡es copia de Windows!). Empecé a instalar y tuve el primer problema. PHP 5 es muy viejo y ya no tiene paquete, vienen con PHP 7.

Y bueno, yo que crecí confiando en que APT era mágico (que creo que ya ni es APT, es Aptitute o algo así), propuse confiar en eso, y le consulte a un experto.

Ya que mi amigo urkonn me dijo que definitivamente no iba funcionar, hice lo que imaginaras… así es, metí los repositorios y recé

Y seguí rezando…

Y después de mucho tiempo que se quedó allí esa cosa detenida… ¡funcionó!

Ni urkonn me creía…. si es tan complicado configurar ambientes vulnerables, ¿cómo es que los sysadmins se las ingenian para ser tan hackeables?, la mayoría de las vulnerabilidades se remediarían instalando actualizaciones y parches.

Bueno… no acabe ya de preparar el jumpbox, porque pss.. me dio flojera; pero… algo que me preocupo mucho es que; diablos, voy a enfrentarme a la Policía Nacional de Colombia, gente muy preparada para enfrentar casos incluso de guerrilla, y yo… bueno, yo estoy muy viejo y desactualizado y me acabo de dar cuenta que ya ni existe ifconfig:

Ahora hay que usar una cosa llamada ip address… ¿a quién se le ocurrió eso?, en OS X si tenemos ifconfig

Así que bueno, ya te habrás dado cuenta que soy un persona… hum… diferente a los hackers e incluso diferente a los bug bounty hunters normales. Yo visto de dinosaurio, uso un iPhone, Macbook pro, OS X y hasta pago mi licencia de Office.

Querido diario.. tal vez debiese empacar y regresar a casa, voy a acabar en la cárcel.

Ouuu por cierto, Synack me invitó a un concurso de fin de año…. el premio es un viaje de México [inserte aquí emoticón sin boquita]

Todo cuadra… pasado mañana viajo a Bogotá, hackeo todo, paso la mercancía, me lío con varias colombianas rubias, güeras, altas y pechugonas; huyo a Peru a ver que se supone que tengo que hacer; viajo de vuelta Mexicali, me encierro a trabajar en el Starbucks y ganó el viaje a… México; ok… será un premio raro.

🙁 esto me preocupa un poco.

Bueno.. al menos hoy vi algo que me causó mucha alegría… y que me recuerda unos cascos rosas de Hello Kitty.

1 de Noviembre de 2017: “Ser mexicano es chido, pero ser chilango es un don de Dios”

Querido diario…

El día de hoy, todavía de ayer apagué mi ofrenda de día de muertos; me despedí de la única persona que actualmente me sentiría mal de no volver a ver en Mexicali; fui a Baires a comer un ribeye término inglés y bebimos un café. Si, suena como cuando vas a cumplir una condena a muerte… y tal vez sea eso; aunque si te soy sincero, la posibilidad de acabar muerto en esta nueva misión, es lo único bueno. Poner fin a todo.

Salí en el vuelo de la media noche de Mexicali al DF, el vuelo Y752 de Volaris, ESE vuelo. Al llegar, sólo baje, tomé otro café, leí mis notas y salí del aeropuerto a comprar un pan de muerto. Volví al aeropuerto y aborde el siguiente vuelo.

Me habría gustado ver a mi familia, pero era muy temprano y tenía muy poco tiempo.

¿Sabes cuanto cuesta usar Internet dentro de un avión de AA?, ¡$45 dlls!, es un robo…. así es, no pensaba pagarlos. En mi mochila siempre traigo varias cosas; antes traía un Pineapple, pero la deje a Jan.. Karen; una amiga, que me dijo que no podía mencionarla en el blog o me golpearía, Jan.. digo Karen la usa para sus pentests. Así que últimamente sólo traigo una tarjeta wireless externa, con un chipset bastante genérico RealTek que detectan todos los kernels que he probado; un cable de red, un cable cruzado, unas ganzuas y las gemelas.

Conecté mi tarjeta wireless y abrí mi máquina virtual de Kali; primero coloqué la tarjeta en modo monitor para poder almacenar el tráfico que detectase:

# ifconfig wlan0 down
# iwconfig wlan0 mode monitor
# airmon-ng start wlan0

Después busqué la red usando usando airodump:

# airodump-ng mon0

Lo bueno de estar a 10, 000 de altura es que no vas a encontrar muchas redes, sólo había una 😛 … protegida con WPA2, como la mayoría de las redes actualmente, e interesante no tenía activo el WPS.

Guarde con airodump el tráfico de la red, si, aunque no lo creas había bastante tráfico, no puedo creer que haya gente que pagué tanto por usar Internet. Limpié el archivo:

# wpaclean

Y lo convertí a un HCCAP:

# aircrack-ng aa.pcap -J aa2

Y a crackear…

# ./cudaHashcat.bin -m 5000 aa2.hccap word -r rules/d3adOne.rule

Y voilá: AA618USAPotB

Y listo.. pude empezar con la fase inicial de la misión, y sin la cual no podría haber continuado… ver Strager Things.

¿Qué?, si voy a morir al menos debía de saber que pasaba con los demodogos… obvio, después de comprobar que viejas, todas son iguales hasta en las series, tomé una siesta.

Bajando del avión me dirigí al hotel. Creo que es lógico, para todos los que ven series de narcos, cuando uno mezcla las ciudades Miami y Bogotá, todas ellas en la misma frase; y mis contactos eran un tico y un panameño, pues… creo que es obvio de que va el asunto. Llegué al hotel, me registré… y esperé en el centro de negocios.

Pedí tres cafés, llegaron mis contactos y entonces empezamos a platicar los detalles de la misión. Y les presenté chan-chan-chan:

El pan de muerto, es algo que ellos no tienen en sus países, lo probaron y entonces las tensiones se fueron… R, como lo llamaremos al despedirse me hizo un gran cumplido. Me dijo que era fan de la cultura mexicana, que de hecho cada día de muertos él va al centro cultural mexicano en Costa Rica a probar el pan de muerto; y que cada que puede viaja a México con su esposa e hijos para pasar las vacaciones; pero que sin duda lo que más le impresiona de México es el Distrito Federal, me dijo que había viajado a Nueva York, Tokio, Ontario, incluso Dubaí; y que simplemente el sigue enamorado de la Ciudad de México.

Después me dio unos documentos con la información de mis contactos en Colombia; y me dijo “hay dos tipos de mexicanos en este mundo; sólo dos. Los que nacen mexicanos; y los que nacemos fuera pero queremos ser mexicanos. Y de entre los primeros, todos son increíbles, ser mexicano es maravilloso, pero ser chilango, ser chilango es un don de Dios; son la raza mexicana más maravillosa. Gracias por el pan C… vendetta.”

Me retiré a mi habitación, leí la lista de contactos en Colombia que me darán la mercancía y empecé a prepararme para el ataque. Aun no estoy muy seguro de lo que haré, pero seguro va a incluir algunas conexiones en reversa a un equipo olvidado puesto a posta por mi para que la Policía Nacional de Colombia le haga defensa ofensiva.

Para ello… ¿qué puede ser más vulnerable?, obvio Linux; ¿y entre todas las distros cual es la peor?, Churrubuntu.. jamás la he usado y siempre le he aborrecido; pero ahora que vi esto me causa más horror:

Wow… toda la pasión del movimiento de Software Libre en Churrubuntu… que horror, y la gente en mis tiempos se quejaba de Microsoft.

Odio la playa, me quedaré todo el día preparando todo; y mañana… bueno… mañana ya empezará lo bueno.

Querido diario… mis asesores de confianza me dicen que tenía una buena vida, ¿cómo es que acabé traficando coca… Coca-Cola entre países… hum… si, tenía todo lo que soñé.

Bueno, hay que trabajar, que este jumpbox no se va a configurar sólo B\ … y para cuando iba terminando de escribir, mi vida se complicó un poco más:

Hum.. ¿qué hay en Perú que Mom quiere que vaya tan de forma urgente?… hum…

Viernes, 6 de Octubre de 2017: Ahorro obligatorio

Querido diario…

Yo soy pésimo ahorrando, no sé si sabrás pero desde que tengo recuerdo mis finanzas han sido muuuuuy malas; los bancos no me tienen mucho aprecio que digamos, y ahora que milagrosamente los planetas se han alineado y me ha estado yendo bien económicamente he probado diferentes formas de ahorro e inversión.

Una de las que recientemente he probado se llama Piggo, que es un fondo de inversión “cool”. Su idea es simplificar la inversión y hacerla entendible a un riesgo relativamente bajo. La aplicación a mi me parece malísima, esta pensada a ser completamente móvil, y cuando uno entra a una aplicación web espera tener más opciones que en la móvil, pero aquí es lo contrario. Otra de las ideas de Piggo es que ahorras para objetivos mundanos, en vez de pensar como inversor en cuando es tu margen de ganancia y demás, acá simplemente defines un objetivo “Comprar una casa”, defines tu ahorro inicial “$1000” y luego programas una domiciliazación periódica quincenal o mensual para cumplir la meta, entonces cada que recibas tu sueldo (usualmente en México quincenalmente) puedes programar un cargo automático, para como dicen por allí “si no lo tengo, no me lo gasto”.

La otra opción de Piggo es que defines tu nivel de riesgo… no explicaré mucho eso porque psss es cosa de inversiones, pero el punto es que la aplicación en automático te genera perdidas o ganancias hasta que llegas a tu objetivo, en ese momento deja de hacer los cobros y te congela tu dinero para que puedas retirarlo a tu cuenta bancaria o a la caja chica de Piggo para definir otro objetivo de ahorro. De hecho la clave de todo es que jamás maneja el término inversión, sino todo es ahorro.

Pues bueno… como yo apenas estaba probado si funcionaba o no, la descargué, me registré y al hacerlo te pide crear el primer objetivo de ahorro, como no tenía idea pensé en ponerle “Dinero para calzoncillos nuevos” pero luego dije “nah, que tal si un día tengo que pedir soporte y lee quién me atienda que mis calzoncillos están viejos, entonces le puse “Sexo, drogas & rock ‘n roll”… programé la meta de ahorro, hice mi ahorro inicial, puse el nivel de riesgo, y listo.

Como no fue mucho le puse el 100% del capital a un nivel de riesgo altísimo y un retiro sólo para probar como funcionaba la domiciliazación de ahorros. Todo iba bien, ayer gané bastante y llegué a mi objetivo en dos días. Todo era felicidad, dije “¡ots!, peroooooo.. hoy intenté sacar el dinero para ir a comprar mis calzoncillos nuevos y:

¿Qué pajoooooo?.. pues que la comilla está rompiendo la query. Y ahora mi dinero está encerrado.

Y ahora querido diario… entenderas que es un poco complicado marcar a un call center y decirle a quién te atiende “oye.. ¿sabes?, le encontré un SQL Injection a tu aplicación.. y de pasó deje mi dinero congelado, ¿me puedes ayudar?”.

Después de como dos horas en las que pasé de operador a operador y no entendían como ayudarme porque jamás les había pasado que a alguien se le ocurría poner esa comilla. Me dijeron “no entendemos, pero haremos la transferencia manual el lunes”.

Querido diario… últimamente me pasa que tengo dinero, pero por causas como que no aceptan tarjeta, PayPal, ApplePay o porque básicamente fui bendecido con un talento increible por los dioses para encontrar vulnerabilidades de una forma mágica hasta cuando intento no hacerlo; no tengo dinero.

¡Hey.. no intentes explotar el SQL injection!, es autenticado y en México son mínimo 6 años como delito federal 😉

Miércoles, 4 de Octubre de 2017: NoTrustSex

Querido diario… Bytevick me convenció de organizar un Meetup:

¿Aburrido de las “Security Nights” de $100 dlls llenas de “lauch a Nessus scan as a professional”?, ¿cansado de los cyber-meetups llenos de marcas?

NoTrustSex… digo NoTrustSec es un MeetUp creado por Victor Gomez y un sujeto exiliado en un recóndito desierto, que busca rascar en lo más profundo de tu nostalgia, haciéndote recordar esas noches de IDA, defacements y muchos alert(1) que se han quedado en el pasado bajo ese oscuro traje, y esa apretada corbata.

Este 17 de octubre, en el sur de la ciudad… ve, toca, mira, habla, comparte y aprende… entrada gratuita.

NoTrustSec
Más ‘1 or 1=1– menos sqlmap -u
https://www.meetup.com/es/NoTrustSec/

 

Domingo, 1 de Octubre de 2017: Una mala mujer

Querido diario… es domingo. Usualmente los domingos no se hace algo… y probablemente sólo te habría contando que vi vídeos de Experimentos Caseros probando la comida militar de Timbuktu, o que Natalia se subió a un inflable de Star Wars y se cayó… pero no; no fue así.

Desperté, bañé, vi que el lavabo que se había descompuesto mágicamente se arreglo sólo; y me fui a desayunar a un restaurante cercano a donde vivo, se llama la Plazita, aunque yo le llamaría “La casa de los huevos”, porque tiene muchos tipo de huevos, de hecho lo que hago es que cada domingo pido una forma diferente y así hasta dar toda la vuelva al menú y de regreso. Lo sé, tengo un problema… como te habrás dado cuenta que los pocos días que he escrito en ti, mi ingreso económico es un poquito inestable y en Mexicali no hay muchos sitios donde acepten tarjetas de crédito, así que usualmente tengo que comer en los mismos sitios; donde si acepan.. es malo porque mi alimentación es un poco monótona, pero es bueno porque tengo muchos doblones en Foursquare 🙂

Pero bueno… dejando a un lado a  comida; estaba yo tranquilamente desayuno cuando de pronto Mam me marcó… así es él, de pronto marca en los momentos más impredecibles… pfff.. ¿domingo?. Siempre me ha desconcertado mucho, lo primero que me dijo al responder fue “ese jugo de naranja se ve muy ácido, pídelo con un toque de zanahoria, esta buenísimo”. Así es, a veces siento que me tienen observado las 24 horas del día.. y no, no me mal entiendas, no es que nunca lo haya visto, si le veo, y le veo muy seguido, nos llevamos muy bien; todos sus cercanos y otros como yo dicen que tengo bastante influencia en él; y realmente me agrada. Sólo a veces me asusta un poco… pero creo que trabajamos bastante bien; es una relación “ganar-ganar” como diría él, o como digo yo… bueno, en realidad yo no digo nada.

Mam me tenía una misión… si, en domingo. Tenía que entregar un informe detallado de la ubicación de una muchacha, horarios y periodos de tiempo en los que estuvo allí; obviamente me dirás “pues te subes a un taxi, la sigues todo el día y arreglado”, bueno… no exactamente, había dos problemitas, el primero; no estaba en la misma ciudad que yo, y la otra… era la vieja no-oficial de un narco. W¡Ups!… ¿es en serio Mam?”, no, no.. no me mal interpretes, no reclamaba por lo del narco, reclamaba porque era domingo.. que más quisiese yo que me cachen y me maten rápida y fríamente, eso resolvería todo.

En fin, terminé mis “Huevos planos”, que la verdad recomiendo bastante… son huevos estrellados sobre unas enchiladas de chorizo con papas; peroooo.. en vez de mole, tiene como extraña salsa de chile pasilla muy buena; sólo falta que pique, pero en el norte no comen chile. Pagué, y entonces me dispuse a trabajar.

Primero que nada había que analizar al objetivo:

No es por ser prejuicioso, pero… la verdad es que no esperaba algo diferente. Analicé un poco de su información, como recordarás el día que tuve que embolsar al pobre Alonso Ríos, pues bueno, en la vida todo son metadatos; y grrr.. esta tipa estaba muy fea como para dedicarle tiempo; y lo más importante ¡era domingo!. Podría haber intentado agregarla como amiga para poder monitorear sus conexiones, la mayoría de las personas dicen que probablemente mi única verdadera habilidad es que tengo mucha facilidad para engañar personas; pero… no tenía tiempo para eso y no me imaginaba pasar horas hablando con la ente feminoide objetivo para poder extraer algo de información útil de ella. Así que optamos por la segunda fase.. ¡metadatos!, para ello hay una herramienta que me gusta mucho; originalmente es una herramienta de pentesting que se usa para hacer parte del scouting de las empresas cuando se les están haciendo pruebas; pero en las últimas versiones también han agregado unas transformaciones (así es como le llaman a los filtros de búsqueda) para poder sacar datos personales de personas, validación de correos electrónicos, URL’s, algunas veces se pueden extraer números telefónicos, personas con las que se ha estado escribiendo, etc… es una maravilla.

Ouuu algo que también esta muy bueno de Maltego es que puedes pasarle un objeto de redes sociales, como puede ser un perfil de Facebook, un mensaje, un twitteo; y a partir de eso te busca toda la información relacionada. No importa que tengas los permisos de privacidad más estrictos, que bloquees gente o lo que sea; en algún punto un like, un contacto, un comentario; lo que sea que hayas hecho en el perfil de alguien que no tenía tantas restricciones como tú, o el uso de aplicaciones como Spotify que usan Facebook como plataforma de autenticación, van a ser que de información.

Después de agregar la información con la que cuentes, aunque no sea mucha, es cosa de dar click derecho “All transforms”  y esperar… y esperar… y esperar… (es que es Java coff.. coff..). En lo que esperaba me puse a ver Doctor Who 🙂

Y después de eso, averigüe la dirección de la ente feminoide objetivo, la cual pude visualizar con Google Maps, pero hum.. bueno, su casa estaba fea, digamos que si se nota que no es la oficial. Además pude saber en donde trabaja, lo cual fue un golpe de suerte. Es cajera en un restaurante de wraps de cadena, que justamente también tiene sucursales en Mexicali… y bueno, todo mundo sabe que cadenas igual a puntos de venta. Como ya eran las 3pm y empezaba a hacer hambre me fui caminando al primer sitio que encontré y al llegar pedí un Wrap Glee (tiene arándanos, sabe rico) y le pedí a la cajera si me podía pasar su clave de wireless. Aquí de nuevo tuve bastante suerte, porque podría haber sido que tuviesen una wireless para clientes/invitados, pero no.. la wireless era la misma que donde estaba conectada la caja.

El siguiente paso era revisar si tenía visibilidad de otros segmentos de red, como podía ser Monterrey, que es donde ella vive; para eso, utilice una herramienta que se llama IP Network Browser. IP Network Browser es una herramienta que sirve a los administradores de red para obtener y operar ciertas cosas de los dispositivos, pero puede ser utilizada muy bien para hacer exploraciones. Lo mejor de todo es que muchos dispositivos de red usan SNMP para comunicarse y herramientas de NOC lo usan para medir el performance de la red, así que muuuuy rara vez esta filtrado por firewalls; y pocas veces es advertido por IPS/IDS:

Para utilizar IP Network Browser hay que pagar, pero nada que no se pueda conseguir en el warez; se abre, se le asigna el rango de IP’s a escánear y se le configuran las community string. Hay que ponerse creativos, obvio las por defecto.. pero ¡hey!, estaba en restaurante de wraps, he visto empresas transnacionales usar “public”, así que, Querido Diario.. guarda tus juguetitos de SNMP brute force para otra ocasión… sigue los consejos del gran, único, el increíble vendetta… antes de usar la fuerza bruta hay que ser un poco más creativos.

El objetivo de utilizar IP Network Browser es encontrar un dispositivo que haga uso de alguna de las community string que hemos configurado y ya que estemos allí analizar las rutas para ver cual es nuestra visibilidad. Ya que encontramos un router, es cosa de pasárselo al Sonar para mapear tooooooodo lo que podamos ver con ese dispositivo.

Añadimos el equipo que hallamos encontrado..

Y esperamos viendo otro capítulo de Doctor Who:

¿Para qué hice esto?… bueno, era o que me iba a Monterrey o que podía ejecutar el ataque desde Mexicali. Ya con la red toda mapeada, algo que me di cuenta es que en términos prácticos la red era plana. Es decir, tenía visibilidad desde cualquier punto de la red hacia cualquier otro punto de la red; por lo cual, sólo lancé un análisis de vulnerabilidades con Nessus a todo el rango de Monterrey (qué por cierto, no sé ve porque lo difumine, pero estaba bien identificado de donde era cada host), y encontrar el segmento donde estaba ella.

Ya que encontré el segmento de ella, ahora si, debía de encontrarla específicamente a ella, y para eso, debía de saber justo el momento en el que ella se conectase a Facebook (al menos por lo que vi, es muy fan de las redes sociales… y de los antros del Barrio Antigüo).

¿Cuantas personas puede haber en un local de wraps?, ¿2?, ¿3?, si hago un ARP poisoning a todos para un DNS Spofing, no va a pasar nada.

Sniffe todo Facebook, Instagram.. y si, no tardé mucho en verle conectarse y poder interceptar las credenciales.. la contraseña era “ensalada69″… la verdad es que es una contraseña que yo habría usado 😛

Ya dentro leí sus chats, ya tenía un registro completo de todos los sitios a los que iba, las personas con las que hablaba; bueno, Señor Narco… si, era una mala mujer.

Ahora sólo me faltaba poder generar la línea de tiempo para poder investigarla al menos 24 horas, tal cual me había pedido Mam. ¿Cómo?, bueno, encontré que a ella le gustaba mucho entrar a un blog de maquillaje, que era de un amigo suyo, y era su estilista. ¿Entrar a una estética?.. psss total, si he hackeado ciudades completas, una raya más al tigre.

Eso iba a ser mucho más fácil, simplemente era un WordPress, bastante viejo; configuré una lista de passwords de leaks que he ido reuniendo con el tiempo de Twitter, LinkedIn y obvio el viejo RockYou. Lo metí al Intruder y esperé… (tuve suerte, no había captcha); los planetas se alineaban: “papichulo1987”.. ¿qué le pasa a la gente con sus contraseñas?. Realmente no me importaba el blog, lo que hice fue probar la contraseña para ver si podía acceder al CPanel del hosting del blog que estaba hosteado en GoDaddy, y; como casi todo mundo, incluyéndome, la contraseña era la misma.

Entre al CPanel y busqué la dirección IP de salida del local de wraps en los logs del Apache; una vez que la encontré busqué el user-agent, no de la computadora desde la que entraba, sino del celular. Resultó ser un :

Mozilla/5.0 (Linux; U; Android 4.0.3; ko-kr; LG-L160L Build/IML74K) AppleWebkit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

¿LG?, más evidencia de que definitivamente ella vieja no oficial, pero después de haber leído sus chats, le había perdido la compasión.

Una vez que tuve el user-agent lo empecé a buscar en el raw log de apache, hice un grep y saque todas las requests hechas por ese user-agent; así que empecé simplemente a copiar las IP’s en Google y analizar la ruta.

Pude encontrar a través de las IP’s que su celular era Telcel, que en su casa tiene contratado Izzi, que en el trabajo se la pasa conectada al Facebook; que tiene hábitos de entrar al blog por la mañana, a medio día y antes de irse del trabajo… y así, pude entregar una línea de tiempo de todos los lugares físcos en donde ella había estado (con un margen de error), pero de unos cuantos metros.

Lo bueno de ser un bug bounty hunter, es que no tengo que hacer presentaciones ejecutivas para directores; escribí todo en un correo, mandé una foto con mi línea de tiempo y las ubicaciones donde ella había hecho peticiones; incluyendo una casa a la que parece iba mucho; y no, no era la suya… quise creer que sería la del Señor Narco, pero no parecía una casa de un Narco.

Mandé el correo y le avisé a Mam… me fui al Hooters; no me he sentido muy bien últimamente, así que sólo pedí alcohol, del fuerte.

Betty, la mesera, es genial. Siempre me regala bebidas… dice que los chilangos tristes necesitamos de menos poder olvidarnos de todo. Una hora más tarde recibí un SMS de un depósito en mi cuenta. Sólo por confirmar le marqué a Mam para preguntarle si de nuevo iba a tener que tomar un vuelo para embolsar a alguien, porque estaba un poco borracho y se me iba a dificultar un poco… se rió; y me dijo que pidiese un tequila, que el bourbon no es de hombres. Obvio miré a todos lados, no para cuidarme, la verdad si hubiese visto a Mam allí le habría invitado un trago, me habría dado gusto platicar con un amigo, o lo que sea que seamos.. ¿empleado – jefe?.

Hum… terminé, pedí un taxi… grrr.. hay un problema horrible con los taxis de Uber de Mexicali; si los pides con tarjeta te cancelan, forzosamente quieren pago en efectivo; me cancelaron 6 antes de poder tomar uno. Fue un domingo, hum… no fue un domingo normal.

Querido diario… ¿crees que algún día vuelva a tener un empleo normal?… daría lo que fuese por haber hecho ese DNS spoofing a una aplicación dentro de una intranet para tomar usuarios de dominio y hacerme de la administración de una empresa.. no para hum…

Buenas noches, querido diario..

Sábado, 30 de Septiembre de 2017: Como quedarte sin comer teniendo dinero

Querido diario… tengo hambre, me gruñe la panza, me duele la cabeza; creo que me voy a desmayar.

Hoy desperté y dije “¡Ahhhhh! Santo Chucho Cristo Redentor; hoy va a ser un día muuuuuy productivo para mi, voy a cambiar el mundo, voy a hacer ejercicio, voy a cocinar comida saludable, voy a buscar un empleo decente… ah.. si, hoy es un nuevo día, lleno de esperanzas y expectativas.. ala, mira…. que hasta el horóscopo dice que hoy es un día de cambio”; y pues si, todo iba bien hasta que:

Y bueno… la buena noticia es que; mi amiga Kar… bueno esto es un diario de un bug bounty hunter ilegal hay que proteger la identidad de las personas,… mi amiga Cinthya consiguió su jersey de Club de Cuervos, también la buena noticia es que mientras tooooodos estaban trabajando, aburridos es sus trabajos, pues yo… creo que fui el primero de todas las personas que conozco en ver la nueva temporada de Club de Cuervos completa; la mala noticia es que no trabajé, pero la peor de las peores noticias es que ¡no comí!.

¿Y por qué no comí?, bueno… pues primero me pasé toda la mañana viendo la serie, de pronto empezó a hacer hambre y dije “ahhhh… pues creo que es tiempo de comer”, pero el día de ayer me di cuenta que este mes debo como $8, 000 de tarjeta de crédito, ¡sólo de taxis! (vivo en un sitio en donde es imposible salir a donde sea si no es en taxi), más todo lo demás. Así que no podía usar mi tarjeta para pedir comida, vi mi cuenta de PayPal y ouuu.. tenía mágicos $0, y luego vi y ya eran las 3:09pm, lo cual en tiempo real es las 5:09pm, ósea.. ya no alcanzaba a hacer una transferencia para poder comprar alimento.

¡Diablos!, ¿cómo podía conseguir para pedir algo de comer?…. hum… ¿sería que los dioses bendecirían mis santas manos para encontrar una vulnerabilidad en algún bug bounty y poder tener dinero en mi cuenta de PayPal para pedir comida?.

Empecé a ver el listado de los diferentes bug bounties disponibles, la mayoría habían sido lanzados entre lunes a martes, así que encontrar una vulnerabilidad sencilla y rápida iba a ser complicado.

Mucha gente puede que haya leído la metodología de Jhaddix, bueno… si, funciona, tiene coherencia, y el básicamente te dice como cubrir la mayor parte de las vulnerabilidades de una aplicación web en un par de horas.. “mayoría”, porque yo creo que las vulnerabilidades más complejas de explotar que tienen que ver con la lógica de la aplicación, que generan más impacto y por ende más dinero, no las vas a encontrar; pero el puntoooo es que a partir de que publicó su metodología puedes ver a un montón de bug bounty hunters buscando los famosos “juicy bugs” como desesperados para llevarse sus $50 a $100 dlls… ¿esta mal?, obvio no… los bug bounty hunters somos la basura de la seguridad, ya hemos caído muy bajo al dedicarnos a esto, ponernos pikys por como buscas tus fallos sería un poco tonto.

En fin, la verdad es que $50 dlls eran más que suficientes para comer, pero… hum… bueno, no perdía nada con intentar un “juicy bug”, además cuando yo revisó una aplicación, no importa que el bounty ya llevé tiempo de liberado; siendo que algún día fui un consultor en seguridad informática respetable sigo todos los pasos de mi metodología y hago revisiones exhaustivas. Así que siempre empiezo lanzando algunos scripts, scanners y listas precargadas para encontrar fallos.

Una de las listas que ejecutó es para la búsqueda de archivos sensibles, por allí en ingles encontrarán esto como “information leak”, aunque incluso podría entrar como en configuration management, debido a que es el sysadmin el que debió de haberse asegurado que el entorno donde ejecuta la aplicación esta limpio… bueno, ¿qué que quiere decir todo esto?, pues nada más que encontramos un archivo que no debía de estar allí.

Hay varios tipos de archivos “sensibles” y no tan sensibles que te puedes encontrar, como por ejemplo un index.jsp que alguien haya cambiado de nombre por un index.jsp_, index.jsp.bk, index.jsp.old, etc… tú me entiendes, ¿no?; algunos de prueba como test.aspx, algunos index.html viejos, confs.php, archivos de properties, o algo así. La verdad es que son un montón de tipos, además no hay que olvidar directorios sensibles, paths comunes como un /admin/, /private/, etc, etc, etc, etc…

Yo lo que hago es que por allí… la verdad no recuerdo donde, descargue ya unas listas que incluyen un montón de listas de posibles archivos sensibles, paths comunes, archivos de configuración que varios manejadores de versiones o herramientas de QA y deployment van dejando; y lo que hago es que utilizó eso para buscarlas. Ahora, yo lo hago usando Burp Suite, perooooo, hay herramientas que dentro de sus pruebas hacen esto. Por ejemplo Nikto o Wikto, yo siempre pensando que es una herramienta muy chafa, como que nada más toma esas listas de búsqueda, y la GHDB y ¡zas! manda requests y por banner trata de identificar vunerabilidades, o por código de error… la verdad no me gusta, y si hay detrás un IPS o un WAF, olvídate, te van a cachar.. incluso algunas veces ni acaba si estas en un entorno Cloud, el balanceador te va a ir limitando las requests. Por otra parte también los escáners de aplicaciones hacen esto mismo, con listas internas… Acunetix es muy común que encuentre estos archivos; peroo.. hum.. aunque lo puedas encontrar con un escáner, de todas formas para un bug bounty vas a tener que mostrar la request manual; y la otra es que yo configuró muy tranquilos los escáners, porque casi todos los bounties están en la nube y también genera mucho ruido su uso; además de que muchos bounties como los de Bugcrowd y HackerOne están en producción… así que seguro tienes algo allí antes de la aplicación que te va a parar.

Lo que yo hago es cargar mis listas en Burp Suite.. tiene dos objetivos, uno de ellos es que es una validación “manual”, que en caso de encontrar algo lo que hago es poner como evidencia una screenshot del response donde se vea el contenido del juicy file; y la otra es que no siempre te tienes que fijar en los error codes, ósea si un 200 es un OK, y un 404 es un file not found, peroooo… en estos tiempos de los frameworks fancy para front end, te vas a encontrar muchos 3xx con redirects o 200 pero que en realidad regresan JSON’s con 1’s, o’s, trues, falses o vacíos; que a pesar de eso puedes seguir identificando por el tamaño del response.

Lo sé, lo sé.. más de un pentester acaba de suicidarse al leerme en este momento.. pero muchachos, ustedes sigan usando Hugo Boss y viviendo en ciudades llenas de tecnología, yo no puedo sentarme con un cliente a perdirle que me levante un ambiente de testing o de stage; yo encuentro fallos como sea y en donde sea, porque sino, no como; y en donde vivo no hay nada de tecnología.

La verdad que hacer esto es sencillísimo… abres tu navegador, configuras el proxy y hacer una petición a la aplicación o al path específico que quieres analizar; teóricamente si, debieses de analizar todos los paths que te encuentres en tu spydering.

Click derecho y mandas tu request al Intruder, agregas un comodín al final del path…

Y en Payloads cargas la lista de tus más common files… (ya te dije, no se de donde saque la mía, pero… bueno, si te interesa, luego te la pasó).

Aquí las demás opciones no importan, así que le das con un one shot y si quieres puedes jugar un poco con los time outs o los threads, pero en general si estas en testing o stage, pues no importa; si estas en productivo sal por TOR o ProxyChains y ya.

Bueno… que al final la cosa es que encontré un info.php.. ¿por qué razón los infophp() siempre se llaman info.php?… no entiendo, podrían llamarse como fuesen, pero siempre se llaman así. Un “juicy file” muy poco juicy.. pero lo reporté, no me tardé ni 5 minutos, y me pagaron $150 dlls; al parecer ese bounty llevaba una semana y nadie lo había reportado aun.. si, el gran Quetzatcoatl estaba de mi lado. Al fin tenía dinero. Marqué a Pizza Ring y dije.. bueno, voy a pedir la pizza de cheetos, que si no me voy a morir de la curiosidad. Transferí los $150 dlls a mi PayPal y justo en eso me llegó un correo.

Era tan simple el bug que me pidieron hacer el path verification cuanto antes. Sólo mandé un replay del request donde apareció el info.php y me pagaron $75 dlls extra.. bien, tenía $225 dlls para comer. Así que marqué de nuevo a Pizza Ring y pedí un ponche.

40 minutos después llegó el repartidor.. salí en pijama y pantuflas; y mis únicos $10 en efectivo. Le dije que no tenía dinero, que me acercase su lector de Apple Pay… “¿mi qué?”… esa fue su respuesta. Fue raro… viví dos años en un pueblo, lejos de la tecnología y las comodidades usuales de la civilización, ahora vivo en una ciudad, pero es una ciudad rara.. donde no usan tarjetas de crédito. ¡En serio!, no tarjeta, no PayPal, no Samsung Pay, no Apple Pay, no Google Pay, no Pay, Pay… dinero, en efectivo, como los cavernícolas cuando negociaban los ribeyes de triceratops con el T-Rex. Tenía $225 dlls en mi PayPal, tenía una pizza frente a mi y el pizzero se la iba a llevar porque quería un billete.

¿Es en seriooooo? </acento_cachanillo>

Y después de rogarle que me fiase la pizza, porque de todas formas nadie estaba tan menso como para pedir una pizza de cheetos, se iba a hacer dura y la tendrían que tirar, se llevó mi pizza. Son las 23:17, mi estomago gruñe, gané los $225 dlls más fáciles de mi vida, y no tengo como comprar comida. Después de todo, Quetzatcoatl no me bendijo tanto.

¡Oh!, por cierto querido diario… cada vez voy a escribir más poético en ti, porque tomé un taller de cuento mexicano en el CEART.

Pero no entendí mucho la verdad, pero no importa, porque cuando Belinda sea presidenta todo va a cambiar; llegará la tecnología a Mexicali y habrá montones de empresas de seguridad informática que busquen desesperadamente ex consultores como shoooo…

¡Diablos! D: si tengo hambre…

 

Jueves, 28 de Septiembre de 2017: Como embolsar un cuerpo

Querido diario…

Disculpa si te mancho de sangre (cómo si los blogs se pudiesen manchar de sangre)… pero estoy en este momento sentado a la orilla de un río de aguas negras metiendo el cuerpo de un sujeto llamado Alonso en unas bolsas negras de basura, y metiendo algunas piedras para que se hunda y no flote… lo sé, ya te desperté la curiosidad por saber que fue lo que pasó, pero la realidad es que es una pésima historia… pero vale, que para eso estas aquí, así que te platicaré.

Bueno.. pues eran las diez de la noche, piloteaba mi nave, era mi taxi un vol… ok, no… disculpa mis malos chistes, he tenido un día muy malo; no eran las 10pm, en realidad eran como las 5pm sino me equivoco, y no iba en ninguna nave, sino caminando rumbo a la lavandería (¿sabías que en Mexicali a las lavanderías les dicen limpiadurías?… ni yo, esa palabra no existe, pero ahora lo sabes… Mexicali es como un país diferente, nada en todo México se parece a ellos); en fin, iba yo caminando cuando recibí una llamada, era hum… bueno, le vamos a llamar “Mam”… así como en James Bond, sólo que él es hombre, pero digamos que es la persona que en muchas de las historias que serán relatadas en este diario, me asignará las misiones imposibles que tendré que resolver.

Así que bien, Mam me dijo que había un problema; el asunto era que un sujeto había robado información sensible de un cuartel, y estaba intentando venderla en el mercado negro; de forma muy tonta en diferentes foros empezó a anunciar que tenía esa información, colocó algunas screenshots de las carátulas de los documentos que intentaba comercializar y pedía $70, 000 dlls por ella.

El problema no era pagar los $70, 000 dlls, las personas del cuartel no tenían problema con entregar el dinero, pero el punto es que era muy seguro que la volvería a vender, seguía teniendo acceso a otro tipo de información sensible, y sobre todo; el sujeto intentó implicar a la esposa de uno de los oficiales de más alto rango; y no sé como sea en donde tú me leas, pero en México hay cosas que son sagradas y con las que nunca te debes de meter; una de ellas es la mamá de alguien y la otra, con la vieja oficial de alguien, así que básicamente el oficial de alto rango ya lo había tomado más personal el asunto y quería ver al tipo en una bolsa… negra, de basura, descuartizado y con piedras dentro… embalado por un bug bounty hunter que no había comido desde ayer, más que una pizza fría de pollo con chorizo. Oh, por cierto, y antes de que se me pasé, ¿te gustan los cheetos Flamming Hot?, pues bueno en Pizza Ring venden una, pero la verdad no se ve muy antojable que ni a una amiga, que llamaremos Dania Pelo Colorido para ocultar su identidad, que es fan de las cosas picantes, como yo; se le antojó. Aun así creo que en algún momento terminaré pidiéndole por curiosidad.

Bueno, seguimos…

Lo primero que hice al recibir la llamada fue seguir mi ética y profesionalismo y decir:

– No, lo siento Mam, yo no hago eso.

Pero justo en ese momento me empezó a gruñir la panza e iba pasando frente a mi un autobús escolar, que son utilizados para llevar a los obreros a las maquilas. Así que recapacité y acepté la misión. Lo sé, soy una mala persona, pero en Mexicali no hay nada de que trabajar, así que hay que hacer este tipo de cosas.

Regresé a casa, y mientras iba caminando de regreso cargando mis calzoncillos limpios con un delicioso aroma a lavanda, iba pensando que hacer. No pude pensar mucho y simplemente deje que la suerte me dijese que hacer.

Llegué a casa, abrí mi poderosa computadora que se pasma con todo, pero que tiene un teclado de emoticones, lo cual es genial, porque puedo poner en Skype y Whatsapp emoticones desde mi teclado; y me dispuse a escribir un correo electrónico al tipo que estaba vendiendo la información, obviamente cuidando que todo se leyese coherente.

Hola, buen día. 

Mi nombre es Leonel David de León Juárez, hijo de una larga lista de Leoneles de León que suman siete en toda mi familia; y navegando anónimamente en Internet, me encontré con que usted tiene información que me puede ser muy valiosa. Soy un periodista, no de los buenos, de los malos; soy fan de Carmen Aristegui, soy corrupto, adoro al Peje y los domingos me robo el dinero de las limosnas en la iglesia. Así que tengo una fuerte suma de dinero que le puedo dar a cambio de que me proporcione esa información que dice tener para colocarla en un periodicazo. 

Saludos cordiales.

Bien, hasta aquí todo parecía bastante creíble, y no tardó en hacer efecto; unas horas más tarde el sospechoso se había comunicado conmigo para poder establecer una línea directa de comunicación. En pocas palabras se creyó mi historia, y empezamos a negociar. Obviamente empecé a pedir algunas evidencias de que realmente tenía la información; así que me envió un correo electrónico con un documento en PDF y una fotografía de la esposa del oficial de alto rango que estaba fondeando mi misión; todo esto desde una dirección de correo electrónico de Gmail.

Haciendo uso de mis bastos conocimientos en Análisis Forense, entre a www.google.com y escribí: como encontrar a un tipo que me envía un correo electrónico si no se donde esta. El primer resultado resultó bastante útil, una herramienta desarrollada por Google para analizar las cabeceras de los correos electrónicos que uno envía. Para ello sólo es necesario entrar aquí: https://toolbox.googleapps.com/apps/messageheader/

Abrí el correo para obtener la cabcera dando click en la flechita que hay a la derecha en la pantalla y luego seleccionando “Obtener mensaje original”.

 

Por cierto, obvio ese no es el correo del tipo sospechoso. Y toda la pornografía abierta es porque.. hum.. porque busco vulnerabilidades en sitios pornográficos.

Ya con el mensaje original lo copypasteé en la herramienta de Google:

Le de click “Analizar la cabecera anterior”:

Y bueno, en este caso si podemos ver varias direcciones que provienen de la Casa de Cultura de Baja California Norte, sin embargo en el caso de mi sospechoso que estaba usando una cuenta de Google, ¿adivina que fue lo que vi?, así es, sólo direcciones 10.x.x.x que pertenecían al mismo Google, así que primer intento fallido, no era posible encontrarlo así.

Por el poco contexto que me había dado el oficial de alto rango, el sospechaba de todo mundo, pero era más que obvio que el leak tenía que ser interno, además de que veía muy difícil que hubiesen podido extraer la información de las instalaciones, porque tenían fuertes controles de seguridad… este, si; y por eso se pueden conectar a Gmail para enviar correos, suena lógico.

En fin, Plan B, decirle que le voy a comprar los documentos, citarlo en un sitio público y cuando llegase darle unos tehucanazos, secuestrarlo y hacerle pocito hasta que confesase… sin embargo tenía un problema, el sospechoso se encontraba en Yucatán. Lo cual literalmente está al otro lado del país que yo, así que el Plan B tendría que hacerlo esperar.

Con la información que me había enviado de prueba intenté hacer una relación de la información, y recordé a un español que siempre está usando un gorrito; Recuerdo que hablaba de metadatos esto, metadatos aquello, metadatos, metadatos, meta, datos, datos, meta… entonces de pronto algo en mi interior me dijo “vendetta… ¡analiza los metadatos!, joder tío”.

Para analizar los metadatos hay montones de herramientas de hecho recuerdo que Chema Alonso había liberado una versión de su herramienta FOCA, pero más enfocada a análisis forense y que extraía la información de los metadatos de una imagen de disco duro o archivos seleccionados y los correlacionaba entre sí, pero no encontré la FOCA forense, o al menos no con un checksum que me permitiese estar seguro que no estaba infectando mi equipo. Así que decidí buscar en Kali Linux que podía utilizar, y… no encontré nada, pero me encontré una herramienta llamada ExifTool que es fácil de instalar en Kali.

vendetta@quesadillasinqueso:~$ sudo apt-get install libimage-exiftool-perl exiftool

Como todo en los Debian based, las cosas son mágicas cuando son mágicas, trágicas cuando no… para mi suerte, esto resultó mágico. Y teniendo la herramienta instalada, no hice más que meter toda la evidencia al directorio y ejecuté la herramienta con el path para analizarla:

vendetta@quesadillasinqueso:~$ exiftool /home/vendetta/UltraTopSecretPathDelSospechosoQueQuiereChantajearAlOficialDeAltoRangoConCosasRarasDeSuVieja/

Y me encontré:

Bien, encontré el nombre de la persona que originalmente hizo el documento, la herramienta y versiones del software que utilizó para crearlo. Pero eso no me era útil, esa persona era de intima confianza del oficial de alto rango, así que quedaba descartada de entre los sospechosos. Por cierto, también encontré una carita de pánico entre los metadatos… el documento estaba asustado, tanto como yo.

Las fotografias tenían algo más de información, pero realmente no muy útil, lo que más pude obtener fueron las coordenadas de donde fue tomada la foto que metí directamente en Google Maps y me apareció la dirección del cuartel. Eso lo único que me confirmó es que el sospechoso tenía que ser parte del cuartel para poder tener acceso a él, pero nada más.

Pensé y pensé… y de pronto se me ocurrió algo. Ya que el sospechoso me estaba respondiendo pensé que podría enviarle una imagen sencilla, algo como una firma en mis correos electrónicos o un cuadrito en blanco que estuviese alojado en un servidor de mi control, y que cuando él abriese el correo electrónico se hiciese una petición a la imagen; ya teniendo la petición de la imagen entraría a los logs del servidor web para verificar la IP desde donde sea hacia la HTTP request y si corría con la suerte de que la estaba haciendo desde dentro del cuartel pedirle a alguien que me ayudase a validar en el appliance que estuviese como gateway de Internet del cuartel que dirección IP interna había hecho esa request.

Subí a ti una imagen en blanco: http://bigshot.beer/blanco.png

Y literalmente copié y pegué la imagen en Gmail, ya antes había hecho este truco cuando intenté rastrear a alguien en un chat de Messenger de Facebook y funcionó, pero en esa ocasión no; resulta que para Gmail copiar una imagen y adjuntar es exactamente lo mismo, así que al momento de pegarla en el cuerpo del mensaje mi imagen se terminaba convirtiendo en una imagen con una referencia interna de Google. Intenté adjuntarla con un tag de HTML directamente en el correo y nada, esos de Google han resuelto muchas cosas, así que adiós a mi brillante plan C.

La verdad se me estaban acabando las opciones y me puse a buscar un vuelo para poder irme a Yucatán. Aunque tampoco tenía como idea de que haría allá una vez que llegase. Podía ir al cuartel y todo, pero llegando allí no tendría mucho apoyo por parte de las personas que se encargan de administrar la red del cuartel porque obvio todos son sospechosos, y el oficial de alto rango, aunque era de muy alto rango no era una persona que me pudiese prestar los accesos a las consolas. Así que tenía varios planes en mente, pero todos ellos no parecía que me pudiesen llevar a algo.

Mi Plan D era llegar directo, conectarme al gateway de salida que podría ser un router o un firewall y sniffear a ver si veía la referencia de la imagen en blanco en Google. Que por cierto, una vez que Google renderíza la imagen esta se vuelve una referencia estática, así que pueden checar el nombre gigante de la imagen en un HTTP request normal y si tienen suerte lo verán, el problema es que viaja por HTTPS, así que hum.. bueno, tal vez lo viese en un GET pero no estaba seguro.

El Plan E era que si de todas formas todo lo que iba a ver estaba cifrado, llegase a intentar conectarme a la consola del firewall; ya fuese que con mi enorme encanto convenciese a un administrador de red o que atacase a uno de los administradores de la red para que se conectase al gateway y en ese momento cachase sus contraseñas y pudiese obtener las credenciales. Ya una vez conectado ingresar tranquilamente a revisar los logs en búsqueda de las personas que hayan accedido a Gmail y poder ir reduciendo mis opciones de sospechoso.

El Plan F era llegar y hacer un ARP poisoning a todo y contra todos… ok, ese era un pésimo plan.

Pues bien, el tipo se estaba impacientando y yo me estaba quedando con pocas opciones y se me estaba revolviendo la cabeza; así que lo único que se me ocurrió fue platicar con él a través de los correos y decirle que si, que aceptaba pagarle sus $70, 000 dlls y pedirle que me asegurase que la información que me ofrecía era cierto; tal vez en el último de los casos pagaba la información le decía al oficial de alto rango que la había recuperado, lo citaba en un sitio público e íbamos al Plan B de los tehuacanazos.

Mientras buscaba mi vuelo a Yucatán pasó algo, el topo empezó a enviarme información de prueba cuando vio que le asunto iba serio y estaba dispuesto a pagar, y entre las cosas que me envió fue un PDF que yo no pude abrir, con mucha sinceridad le dije que el archivo estaba dañado, me dijo que era porque había intentando sólo enviarme la primer página a modo de prueba y salió mal, pero que me enviaba un Word para validar.

¿Momento?, ¿acaba de decir un archivo de Word?…

De nuevo pasó por mi mente Chema Alonso, sus metadatos, y una conversación que tuvimos donde le pregunté cual era el propósito de que FOCA hiciese un scouting intentando relacionar información de documentos de Office, pues bien, los metadatos; los documentos de Word, principalmente, están llenos de metadatos que permiten su recuperación en caso de falla, manejo de versiones, incluso pueden llevar hasta una síntesis de la información que contiene el documento.

Así que analicé el documento y…

Pues bueno… el análisis de los metadatos de Word no sólo me arrojó el nombre de la persona que ya conocía había creado el documento inicialmente, sino que me arrojaba el nombre de la persona que dentro del Dominio del cuartel había hecho la última modificación del documento, y para que no tuviese dudas, también me decía cuantas revisiones se habían hecho al documento. La primera en su creación/lectura inicial cuando el sospechoso la obtuvo, la segunda, hecha por un tal Alonso Ríos, que era el nombre del sospechoso, y nada más para confirmar la hora en la que lo había hecho, un minuto antes… ¡pwned!.

Pues bien, el juego había terminado para nuestro amigo Alonso, lo iban a despedir e incluso podrían fincarle algún tipo de demanda, debido a que lo que había hecho era un delito… o eso pensé.

Avisé con toda mi evidencia al oficial de alto rango, lo estaba viendo por una conversación de FaceTime y obviamente se le vio muy feliz cuando escucho el nombre; vi a través de la cámara que hizo algunos ademanes, y que otros soldados salieron corriendo, medio me preguntó como era que lo había conseguido y yo medio intenté explicar, aunque creo que no me entendió mucho; unos minutos más tarde vi a los soldados entrar con una cosa que parecía un bulto a la oficina donde estaban, escuché un gracias, recibí un SMS con un depósito en mi cuenta bancaria y se perdió la conexión.

Bueno… así es la vida, pensé. Verifiqué el saldo en mi cuenta, acomodé mis calzoncillos en el armario y salí a cenar. Fui al Hooters, donde casi siempre cenó a platicar con Betty, la mesera que atiende la barra que desde que me mudé a Mexicali conozco; y mientras estaba en comiendo unas alitas 3 mile island, Mam me envió un correo con un boleto a Yucatán.

Bueno… parece que al oficial de alto rango se le pasó un poquito la mano, y heme aquí, en la orilla de un río deshaciendome de la evidencia, y no exactamente la digital.

Le platiqué mi prestanombres Eduardo, que usualmente llamo Lalo; pero que por razones de extrema seguridad; le llamaré Joven Candia, me preguntó si no me sentía mal por haber dejado a una viuda y dos niños desamparados, dijo que no podía creer que pudiese dormir; pero la verdad es que el avión me quedé muerto. Después de pensarlo bien, el Joven Candia coincidió conmigo en que hemos pasado tiempos peores, yo le dije que si… realmente no recuerdo tiempos peores a estos, pero él además de defender redes de día y hacer análisis forenses reales; de noche es abogado, es mi abogado… entonces uno le tiene que creer a su abogado.

Hemos pasado tiempos peores, podría ser peor.

Tip: querido diario… si un día tienes que embolsar a alguien en bolsas de basura, ponle doble bolsa, porque las bolsas de basura son muy delgaditas y se rompen con facilidad 😉

The bread attack

One of the most valuable skills in the hacking world is the social engineering… in simple words is the ability to deceive persons, or as I say “chamaquear”, well, here is the story.

(Dialogues are in spanish, because is so complex translate them to english)

I have a friend who loves the bread of dead, this is a bread of dead:

This bread is cooked on October and November for the Day of the death, one of the most important dates at Mexico. But some places start to sell the bread on September.

We live at Mexicali, but I’m from Mexico City, and in my city bakeries are more traditionals, and there are bakeries which create the bests breads of the dead. But, due to these breads are so special, the bakeries just sell them from October 290th to November 3th… so, in September, how can I get some breads?… hum..

Well.. here is the story:

- Hola
- Si, Rosetta, buenas tardes
- Que tal, llamo porque quiero preguntar si ya tienen pan de muerto. He escuchado que es muy bueno el suyo porque esta hecho con romero
- Si, nuestra cocina esta premiada entre las 15 mejores del mundo; sin embargo lamento decirle que únicamente vendemos pan de muerto del día 29 de Octubre hasta agotar existencias
- Hum.. entiendo... ¿hay forma de que usted me pueda hacer un pedido especial?
- No creo realmente, a menos que fuese un volumen muy grande
- Hum.. entiendo.. mire, deje me presento, me llamo Judas Gerardo, y básicamente estoy de viaje en la ciudad porque tengo un restaurante en Mexicali, y bueno, nosotros no tenemos comida muy tradicional, así que mi foco en llevar la comida más tradicional del país al norte para que sea conocida. Y para día de muertos tengo planeado llevar pan de muerto de las panaderías más tradicionales, porque allá hace tanta falta que incluso la gente se atreve a comer pan de súper mercado
- Oh Dios
- Exacto, entonces estoy iniciando este nuevo proyecto, y bueno encontré que Rosetta vendé el pan de muerto calificado en 2016, y me gustaría llevar unas muestras a mis socios en Mexicali para que lo prueben y en caso de que les agrede hace un pedido mucho mayor.
- ¿Ha visto otras opciones?
- Tengo que ser sincero, si; estoy evaluando varias panaderías de las 10 mejor calificadas, por ahora llevo dos Sucreicacoa y la Pilarika; no depende únicamente de mi elegir el que más nos guste, pero bueno al fina mi intención que llevar los mejores sabores del país hacia el norte. 
- Es un proyecto muy ambicioso, y dígame ¿cuantas muestras necesita? 
- Yo creo que unas 10. obviamente las pagaría y en caso que ustedes me lo pidan puedo pagar un costo mayor. Obviamente le preveo que si ustedes fuesen los elegidos, haríamos un pedido de al menos unas 10, 000 unidades. 
- Excelente, mire, me gusta su idea, déjeme le pasó al área de finanzas para poder llegar a un acuerdo

Well, this is first part… I accorded with the bakery 10 special breads for $4, 000 MX (around $200 dlls) which so expensive, but the person told me that the high price was because… actually I don’t know, but.. hum.. well… see the next part.

- Hola, vengo a recoger un pedido de 10 panes que encargue
- Buenos días Judas, soy Elena, la cheff y dueña  del restaurante, me comentaron acerca de su proyecto de llevar nuestro pan a Mexicali
- Si
- Tienes un ligero acento muy cantadito, pero en el fondo suenas normal
- Si, yo soy chilango; pero bueno, me asocie con unos amigos en esta locura y bueno... la verdad es que yo no voy más allá de hacer unos huevos revueltos, pero me encargo de las relaciones comerciales
- Ven Judas, siéntate conmigo, los panes los tenemos, pero quiero que pruebes uno recién salido del horno para que veas su sabor y textura; y te invito un café delicioso que nos traen de Chiapas
- Ouuu... hum.. ok

Well I passed 3 hours talking about Mexicali, about food, about hacking (yeap.. I told her I’m a security guy).. and after that I got my 10 breads for free… so, my friend will taste the best breads from Mexico City, prepared specially for her by one of the most recognizzed cheffs in the world. I hope she really likes the breads because was so complicated got them.. but well, I’m an expert social engineer 😉

Ouuu.. well, from the 10 breads, just survived 2.. .for her; coff.. coff..

Yes I know.. this is not a technical post, but a good skills on social engineering some times are most important than the technical skills.

Chan, chan, charraaaa…