Domingo, 11 de Marzo de 2018: ¡Muchacho me tapaste el zinc!

Querido Diario…

El día de ayer había sido un día altamente productivo en el que iba a dedicar toda la tarde a leer un documento; cuando alguien me distrajo de mis responsables actividades.

Obviamente me resistí.. como una hora. Y después de eso terminé tooooooda la tarde, noche, madrugada y siguiente mañana viendo Love.

Ok, no hice nada… y en la mañana estaba tranquilamente descansando cuando escuché que se azotó la puerta. Domingo, la puerta azotandose y el sonido de cumbias y salsas invadiendo la salsa. Eso sólo se podía significar una cosa. La señora Belén había ido a hacer la limpieza.

La señora Belén es mi sirvienta, inicialmente era de mi rentero pero terminó siendo mía. Y bueno, yo no ensucio mucho pero mis manos no fueron echas para agarrar escobas o lavar trastes, ¡yiuck!.

Me paré a cerrar la puerta y evitar que de pronto entrase a jalarme las cobijas. Ella tiene llave de mi casa y sabe que si la puerta de mi habitación está cerrada es porque estoy en cueros, y es mejor que haga toda la limpieza de lo demás primero y deje al final la habitación; pero en esta ocasión no le importó y me sacó a rastras de la habitación.

- ¡Muchachooooooooooo! '¡ra no'más lo que hiciste

Sabía que estaba abajo en la cocina, pero su voz se escuchaba hasta arriba como si la tuviese a un lado.

- Allí déjelo, al rato lo lavo - grité
- ¡Qué al rato ni que al rato!, párate ahorita mismo y vas a ver la tarugada que hiciste - Si, allí la tenía al lado de mi pegándome a donde cayese
- ¿Ahora que yo hice?, sea lo que sea tiene una explicación - intentaba detener los golpes mientras bajábamos las escaleras
- ¿Qué explicación?, si tapaste todo el zinc

¡Ohhh! paréntesis; para los amantes del español. Zinc en cachanillo significa lavabo.

- A ver, ¿qué explicación tiene eso?
- Ohhhh si la tiene, de hecho es muy buena. Miré el otro día estaba yo haciendo chocolates, pero no lograba hacer la mezcla correcta; entonces tuve que tirar varías mezclas y las tiré al lavabo... y de pronto ya no se empezó a ir, y fue cuando me di cuenta que verter chocolate líquido caliente a una tubería fría había sido mala idea y... pues, henos aquí, con el "zinc" tapado.

Pensé que con esa explicación era suficiente para que ella entendiese que todo había sido un accidente. Pero no… con la señora Belén, nunca se puede dialogar.

- ¿Qué estas tarado?
- Oiga... no sé como es la vida en Mexicali, en serio aquí es otro país, pero... usualmente de donde vengo, las sirvientas no le gritan al patrón

Vi la furia en sus ojos, me hice bolita, y lo hice muy rápido; y sólo alcancé a sentir el escobazo en la espalda… y luego otro, y luego otro más, y luego uno más; hasta que me resbalé; y empecé a rezar por mi vida.

- Ante ti poderoso señor de la verdad y la luz me presento; nada poseo salvo mi propio ser y mi humana naturaleza. Señor guerrero por excelencia, tus armas truncaron los sables de Dios... 
- ¿Qué estas diciendo? - la señora Belén es peor que mi mamá, creo que sólo se podría comparar con la señora Esthela
- Pues estoy rezando
- ¿Qué clase de padre nuestro es ese?
- Ya le había dicho que no soy cristiano - y esa respuesta se tradujo en otro escobazo
- Ya párele, ¿no?... ahorita lo arreglamos
- ¿Y cómo piensas arreglarlo?
- Pues... pues... quito el tubo, le pongo otro tubo; y ya... así de facíl
- ¿Y tú sabes de poner tubos?
- Hum... no, pero... ñeeee.. ¿qué puede salir mal?

Querido Diario… como decía un maestro de Química que me dio clase en UPIBI… “¿fontanero yo?, si para eso estudié?”.  Unas horas después estábamos inundados en la cocina; teníamos a un verdadero fontanero arreglando el lavabo y la señora Belén estaba tan enojada que no tenía ganas ya de pegarme.

- Oiga.. 
- ¿Qué? - me miró de una forma que sabía que cada palabra que dijese podía representar mi eventual muerte; o peor, que renuncie
- Ya hace hambre, ¿no?
- Pues si, pero yo no voy a poder ir a comer; ahorita mis hijos ya deben andar en el sobre ruedas; y yo aquí esperando a poder secar la cocina
- Yooo... yoooo.. pues usted ya se dio cuenta que esto de la fontanería no es lo mío, perooo... yo creo que va a tardar - y me miró con unos ojos aun más amenazantes - hum.. oiga.. ¿le gusta el rámen?
- Si
- Pues yo propongo que vayamos a comer, mientras el señor termina y nos relajamos un poco.. usted deja la escoba; y firmamos las pases
- Bueno

Fuimos a un sitio llamado Umai, hace poco comí allí y me gustó mucho; hacen un rámen muy bueno… que extrañamente me recordó el mole de olla de mi abuelita.

- ¿Y ahora por que estas aquí?
- ¿Cómo?
- Si, tienes rato que no te vas
- Ouuuu.... tube unas discrepancias laborales y hum... digamos que la competencia me quiere desaparecer. Así que el dueño de donde trabajo prefiere que este aquí antes de que me pase algo malo
- Hum... ¿qué estudiaste?
- ¿En la escuela?
- Si
- Ahhh no estudié aquí; también estudié en el DF, estudie Ingeniería en Sistemas Computacionales son especialidad en Sistemas
- Hum... nunca te había preguntado a que te dedicabas, pero si.. pareces como algo de computadoras
- ¿Cómo es eso?
- Pues sólo te faltan lentes para verte como ño... 
- Señora, termina esa palabra y juro que le sorrajo el plato en la cabeza
- ¿Puedes hackear un Facebook?
- Pfff.. ¿por qué la gente siempre busca eso?... no lo parece pero estudié una ingeniería en una de las mejores escuelas del mundo; ¿y quiere que hackee un Facebook?
- Huuuuy pues perdón, era un favor - y me empecé a reir

El “Huuuuuy pues perdón” es una frase que yo digo mucho, y que ahora se le ha vuelto costumbre decir.

La señora Belén tenía un problema; uno de sus hijos cree que anda hum.. consumido cosas que no debe; y está un poco asustada porque hace poco le encontró algo más “fuerte”. Así que quiere entrar a su Facebook para saber que esta haciendo su hijo.

- ¿Qué no ha escuchado de la privacidad?
- ¡Ay chamaco!, ¿a poco tu mamá no haría algo así?
- Hum... sinceramente... creo que no. A la primer sospecha me habría roto algún hueso
- Bueno, pero seguro tu no hiciste nada de eso; y ella no tenía que preocuparse
- No, pues no
- Nunca te drogaste
- Bueno... comparado con el croc, la cocaína; no... es casi un dulce
- Ni bebiste en la escuela
- Bueno... no, ósea en la vocacional asaltábamos las camiones de Corona, pero no... no me gusta la cerveza
- ¿Ves?, en cambio este pen... ashh.. es que ya no se que hacer
- Hum... - quería ayudarla, pero ¿y mis principios?, ¿y mi ética?
- Anda
- Eso está un poco mal, tal vez debería de hablar con su hijo... al viejo estilo; creo que a usted se le da
- ¿Cómo?
- Hum.. *ALGUIEN* alguna vez me dijo que en Mexicali si acostumbraba la educación a base de la chancla
- Ay no sé, anda en malos pasos... imagínate que tu hubieses mentido, robado, engañado, hecho cosas malas; ¿dónde habrías acabado ahorita?
- Ouuuuu.. en la H. Organización Turbia e Ilegal.. ¿cree que le interese ser becario?, tenemos gente en Mexicali; podría trabajar conmigo
- Déja de bromear muchacho

Si, al final terminó convenciendome. Así que acepté.

- Miré, le voy a preparar algo... usted sabrá si lo usa o no. Pero, a mi no me meta, ni me diga nada. Sólo le advierto, a veces conocer las cosas de todos puede ser no tan bueno
- Ok, ok... ¿que hay que hacer?
- Vamos al Office Depot

Pasamos a comprar una memoria USB, el limpia pisos que le gusta y una cosa, que no recuerdo cual es la palabra; pero es la palabra cachanilla para destapa caños. Era un liquido pero, ella le dijo de otra forma.

- Oye muchacho
- ¿Eu?
- Una vez vi una película que se llama El intruso, ¿lo que vas a hacer no es igual?
- Hum.. si y no, no y si.... miré, si hay gente mala; muy mala que hace cosas como en esa película. Pero yo no... yo... es difícil explicarle
- ¿Puedes hackear un carro?
- Hum... pues nunca lo he intentado; teóricamente si, pero en práctica no estoy seguro
- ¿Cómo aprendiste todo esto?, ¿en la escuela? yo estaba pensando en mandar a mi hijo a CETYS
- Hum... no aprenderá eso allí. No lo sé... es complejo; y créame no quiere su hijo aprenda esto. Le voy a explicar paso a pasito, para que me entienda lo que estoy haciendo, vea que no es nada del otro mundo, pero... entienda lo que implica. ¿Hecho?
- Hecho - e hice como que me escupía la mano y se la daba.

Pensé en el método menos feo para enseñarle; tampoco quería meterle en un problema. Así que pensé en hacerle un USB password stealer; usando Web Browser Pass View. No es nada del otro mundo, sólo una herramienta que saca el dump de las contraseñas almacenadas en el navegador. Perfecto para que la señora pueda obtener las credenciales de Facebook, Twitter, Instragram, Snapchat, Plurk… no que quiera, sin hacer algo “malo”.

Descargue la herramienta y la coloqué en la memoria USB, luego cree un bat para ejecutarla:

Después de creado el bat, hice también un autorun, para que la herramienta se ejecute con sólo meter la USB en una computadora y en ese momento sacar todos los passwords:

Y le enseñé a la señora como funcionaba:

¡Oh diablos!, esos son mis passwords de algunas cosas y les había visto la señora Belén.

En fin, después de que terminó la inundación; la señora me puso a ayudarle a secar toda la cocina; tendió mi cama y me agradeció la comida. Se llevó una USB que únicamente con conectarla podrá espiar a su hijo de en medio… si, creo que eso no es correcto pero… ella me cae bien.

- Gracias muchacho
- Hum... yo creo que... no debería. Dele un sape como las madres de antes
- Al que le voy a dar el sape es a ti si vuelves a tapar el zinc
- Nooooo, por favor - e hice como que me hacía bolita - oiga
- ¿Qué?
- ¿Cómo se va a ir?
- Pues voy a tener que pedir un Uber, porque ya no está mi hijo mayor para que venga por mi
- ¿Dónde vive?, yo la llevo
- Pues si, porque son como $100 hasta allá, esta bien caro muchacho. ¿Conoces Villa Florida?
- Hum... olvídelo, buena suerte
- Ven para acá
- Ohhhh ya voy subase
- Si tiene mala fama el fraccionamiento, pero no está feo, es sólo mala fama
- No era por eso, soy chilango... nada por aquí puede ser lo suficientemente peligroso para mi
- ¿Entonces?
- Oiga... necesito un favor a cambio
- ¿Qué?
- Usted me dijo que luego iba mucho a San Pedro porque se dedica a los banquetes, ¿no?
- Si
- Voy a comprar una casa, quiero una grande, con alberca de preferencia y aire acondicionado del que va por dentro... consígame una ¿no?
- Ay muchacho... cuando te conocí estabas bien flaco de que no tenías dinero, incluso me quedaste a deber; y ¿ahora hasta casa?, ¿en que andas metido?, no vaya a ser que tenga que usar la cosa está en ti para saber que te traes
- Huuuuy no señora; capaz que se me espanta
- Bueno, yo te aviso. Gracias por el "raite"
- Hum... cuídese, el domingo no voy a estar. Salgo de viaje y regreso pero hasta la tarde; cierra bien; y le lava su tapetito a Shellcode.

Querido Diario… ser adolescente en la era de la tecnología debe ser difícil. Pobre de su hijo, si así me pega a mi… creo que le a romper algo importante. Pero… como decía mi abuela; así se educa a la gente.

Martes, 24 de Octubre de 2017: Siempre hay que decir que si

Querido diario..

Hace muchos años, en los tiempos en que existía el RTM Security Team, hice una sección; que si no mal recuerdo se llamaba “vPasswordList”, era un formulario donde invitaba a la gente a meter su password, se almacenaba en un TXT y ese TXT era descargable. Antes de que te quejes, en ese entonces no existían los leaks masivos que hay ahora, de hecho lo más “leak” creo que había sido el que generó rockyou.txt

Obvio muchos se quejaron porque decían que iba a hacer una relación de varias cosas para determinar de quién había sido el password, así que no sirvió de mucho mi idea de hacer un diccionario. Y ayer me acordé por esto:

Bueno… dejando de lado las comicidades del día. Un día, cuando yo aun era un consultor respetable, gran profesionista con mucho futuro, me mandaron a revisar la seguridad de una aplicación; pero cuando llegué no era una aplicación propiamente dicho… bueno si, porque ¿quién sabe que es una aplicación y que no es?, a lo que me refiero es que yo para ese entonces lo único que había revisado eran portales y bancas en línea; de pronto llegué y lo que vi fue el software que había desarrollado una empresa para controlar los tokens de autenticación y la administración (de forma muy básica) de varios tipos de biométricos.

Apenas vi la situación y dije #estacab%&/(esepe&/( e inmediatamente, como hace todo buen consultor, llame a mi gerente.

Pero mi gerente… ¡ah! si tuviese que definir la palabra jefe, diría que es él. Es el mejor jefe que he tenido, le vamos a llamar “El ingeniero”. El ingeniero era alguien de esas personas que ya ha pasado por mucho, tiene mucha experiencia, todo el tiempo se la pasaba leyendo; y era un experto en bases de datos, principalmente Oracle. Y algo que me enseño El ingeniero es a siempre decir que si, un verdadero consultor jamás duda.

Así que bueno, cuando vi mi aplicación que no era aplicación corrí como consultor senior asustado a decirle:

- Bueno
- ¡Ingeniero!, tenemos un problema
- ¿Qué pasó ingeniero?, ¿cómo esta?, ¿ya desayunó?, tomese un cafecito hombre, no hay problemas

Otra de las grandes virtudes de El ingeniero es su capacidad para conservar la calma, creo que eso también le aprendí. ¿Has visto el meme ese del perrito que esta en llamas y dice “I’m fine”, bueno, al Ingeniero lo llegué a ver en medio de unas vías sin poder arrancar el coche y decir “Oiga… jajaja… esta cosa no arranca ingeniero, nos van a aplastar hombre”.

Ya todo alterado le empecé a explicar que no entendía nada de como hacer la revisión de la aplicación, que tenía todo el día sin siquiera poder identificar una interfaz, que la aplicación no hacia nada y que estaba en un rincón llorando… pero el Ingeniero me dijo, una frase que siempre recuerdo cuando esty en crisis:

- Ingeniero, pues si todas las aplicaciones son lo mismo: autenticación, autorización, manejo de sesiones... ¿qué no maneja sesiones? pues no revise sesiones, que no tiene interfaz, pues no haga validación de entradas.. nada más lo que hay ingeniero
- Pero es que ese es el problema, no hace nada, ¡nada más autentica!
- Pues si nada más autentica, pues revise pura autenticación ingeniero

Para el Ingeniero la vida siempre era fácil y nosotros nos complicábamos todo, así que supongo que mucho de mi estilo actual de “gestión de proyectos” se lo aprendí a él. (Cabe señalar que pasé dos meses haciendo reversing a los drivers y firmware de los biométricos, lo cual.. creo que no venía en OWASP, ni era parte de la autenticación, pero psss.. el Ingeniero).

Por cierto… no tiene mucho que lo vi, hace como un mes viaje al Distrito Federal y aproveché para verlo a él y a otros amigos de mi vida normal. Pero bueno, sigamos…

El punto es que gracias a él aprendí que los consultores de seguridad son machos, que jamás dicen que no ¡ahhhh! y otra de las frases épicas del Ingeniero:

- Ingeniero, soluciones no preguntas ingeniero, soluciones.

Aprendí a que mi único objetivo en la vida es resolver situaciones complejas, con el menor esfuerzo posible y siempre cumpliendo con los objetivos. Deminios, querido diario… creo que fui entregado para ser un bug bounty hunter, desde antes de que lo fuese D:

El punto es… y a todo lo que va esto es… en dos semanas salgo para Colombia, a una de las mejores misiones de mi vida… pasara 12 kilogramos de cocaína haciendo no sé para evadir todos los controles de seguridad. ¿Cómo se hace eso?, pues bueno…. no tengo la menor idea.

Además de llevar a las Gemelas (mis dos pistolas de oro), aquí se necesita ser inteligente, no podemos andar dando balazos por todos lados. No sé a que me voy a enfrentar, sólo una vez he hackeado un aeropuerto y tiene mucho tiempo y fue para entrar al sistema corporativo del grupo empresarial al que le pertenecía, acá es diferente, hay que hacer cosas que no entiendo como hacerlas y no se que puedo esperar. La otra es que yo encuentro fallos en aplicaciones, la infraestructura no es lo mío, tiene mucho tiempo que no hago un pentest y estoy algo oxidado, así que llevaré algunas herramientas de uso general.

Primero que nada hay que contemplar de que me voy a enfrentar a quién sabe qué, así que lo primero será hacer un reconocimiento. Para ello se puede hacer primero un reconocimiento externo en el que tendré que hacer uso de búsquedas en fuentes abiertas, para eso a mi me gusta mucho Maltego; después de eso habrá que realizar una exploración lo cual yo para eso principalmente uso IP Network Browser, Nmap y Sonar; después de eso primero hay que buscar errores de configuraciones, errores de explotación inmediata y un análisis de vulnerabilidades sobre objetivos especificos que nos parezcan interesantes; yo para eso uso Nessus, DameWare, Burp Suite, Metasploit.. y finalmente atacar, que para eso Metasploit va también bien.

Ahora, todo esto hay que guardarlo en cierta parte.. no está demás llevar todo cifrado en un contenedor de VeraCrypt en un disco duro, con la máquina base completamente limpia y todo en máquinas virtuales. Yo sigo prefiriendo MS Windows para trabajar, pero obvio siempre hay que llevar Kali, por cualquier cosa.

Para la virtualización yo uso VMWare Fusion; pero el Workstation funcionará bien para los que su máquina base sea MS Windows o Linux; yo uso Apple para todo.

En cuanto a servicios, yo recomiendo instalar LAMP o XAMP, porque a veces es necesario pasar algún archivo dentro de la red para hacer movimientos laterales, también es posible usar para eso Netcat; pero hay que llevar de todo.

La primera vez que ataqué un aeropuerto fue por wireless, de hecho fue por error; así que olvidar llevar una antena; yo recomendaría mucho una Wifi Pineapple, ¡diablos!, las mías las tienen Janey y Beto… bueno, espero que no haya que atacar nada wireless.

Creo que con estas cosas básicas y muy generales estaré listo para trabajar en El Dorado.