Jueves, 28 de Septiembre de 2017: Como embolsar un cuerpo

Querido diario…

Disculpa si te mancho de sangre (cómo si los blogs se pudiesen manchar de sangre)… pero estoy en este momento sentado a la orilla de un río de aguas negras metiendo el cuerpo de un sujeto llamado Alonso en unas bolsas negras de basura, y metiendo algunas piedras para que se hunda y no flote… lo sé, ya te desperté la curiosidad por saber que fue lo que pasó, pero la realidad es que es una pésima historia… pero vale, que para eso estas aquí, así que te platicaré.

Bueno.. pues eran las diez de la noche, piloteaba mi nave, era mi taxi un vol… ok, no… disculpa mis malos chistes, he tenido un día muy malo; no eran las 10pm, en realidad eran como las 5pm sino me equivoco, y no iba en ninguna nave, sino caminando rumbo a la lavandería (¿sabías que en Mexicali a las lavanderías les dicen limpiadurías?… ni yo, esa palabra no existe, pero ahora lo sabes… Mexicali es como un país diferente, nada en todo México se parece a ellos); en fin, iba yo caminando cuando recibí una llamada, era hum… bueno, le vamos a llamar “Mam”… así como en James Bond, sólo que él es hombre, pero digamos que es la persona que en muchas de las historias que serán relatadas en este diario, me asignará las misiones imposibles que tendré que resolver.

Así que bien, Mam me dijo que había un problema; el asunto era que un sujeto había robado información sensible de un cuartel, y estaba intentando venderla en el mercado negro; de forma muy tonta en diferentes foros empezó a anunciar que tenía esa información, colocó algunas screenshots de las carátulas de los documentos que intentaba comercializar y pedía $70, 000 dlls por ella.

El problema no era pagar los $70, 000 dlls, las personas del cuartel no tenían problema con entregar el dinero, pero el punto es que era muy seguro que la volvería a vender, seguía teniendo acceso a otro tipo de información sensible, y sobre todo; el sujeto intentó implicar a la esposa de uno de los oficiales de más alto rango; y no sé como sea en donde tú me leas, pero en México hay cosas que son sagradas y con las que nunca te debes de meter; una de ellas es la mamá de alguien y la otra, con la vieja oficial de alguien, así que básicamente el oficial de alto rango ya lo había tomado más personal el asunto y quería ver al tipo en una bolsa… negra, de basura, descuartizado y con piedras dentro… embalado por un bug bounty hunter que no había comido desde ayer, más que una pizza fría de pollo con chorizo. Oh, por cierto, y antes de que se me pasé, ¿te gustan los cheetos Flamming Hot?, pues bueno en Pizza Ring venden una, pero la verdad no se ve muy antojable que ni a una amiga, que llamaremos Dania Pelo Colorido para ocultar su identidad, que es fan de las cosas picantes, como yo; se le antojó. Aun así creo que en algún momento terminaré pidiéndole por curiosidad.

Bueno, seguimos…

Lo primero que hice al recibir la llamada fue seguir mi ética y profesionalismo y decir:

– No, lo siento Mam, yo no hago eso.

Pero justo en ese momento me empezó a gruñir la panza e iba pasando frente a mi un autobús escolar, que son utilizados para llevar a los obreros a las maquilas. Así que recapacité y acepté la misión. Lo sé, soy una mala persona, pero en Mexicali no hay nada de que trabajar, así que hay que hacer este tipo de cosas.

Regresé a casa, y mientras iba caminando de regreso cargando mis calzoncillos limpios con un delicioso aroma a lavanda, iba pensando que hacer. No pude pensar mucho y simplemente deje que la suerte me dijese que hacer.

Llegué a casa, abrí mi poderosa computadora que se pasma con todo, pero que tiene un teclado de emoticones, lo cual es genial, porque puedo poner en Skype y Whatsapp emoticones desde mi teclado; y me dispuse a escribir un correo electrónico al tipo que estaba vendiendo la información, obviamente cuidando que todo se leyese coherente.

Hola, buen día. 

Mi nombre es Leonel David de León Juárez, hijo de una larga lista de Leoneles de León que suman siete en toda mi familia; y navegando anónimamente en Internet, me encontré con que usted tiene información que me puede ser muy valiosa. Soy un periodista, no de los buenos, de los malos; soy fan de Carmen Aristegui, soy corrupto, adoro al Peje y los domingos me robo el dinero de las limosnas en la iglesia. Así que tengo una fuerte suma de dinero que le puedo dar a cambio de que me proporcione esa información que dice tener para colocarla en un periodicazo. 

Saludos cordiales.

Bien, hasta aquí todo parecía bastante creíble, y no tardó en hacer efecto; unas horas más tarde el sospechoso se había comunicado conmigo para poder establecer una línea directa de comunicación. En pocas palabras se creyó mi historia, y empezamos a negociar. Obviamente empecé a pedir algunas evidencias de que realmente tenía la información; así que me envió un correo electrónico con un documento en PDF y una fotografía de la esposa del oficial de alto rango que estaba fondeando mi misión; todo esto desde una dirección de correo electrónico de Gmail.

Haciendo uso de mis bastos conocimientos en Análisis Forense, entre a www.google.com y escribí: como encontrar a un tipo que me envía un correo electrónico si no se donde esta. El primer resultado resultó bastante útil, una herramienta desarrollada por Google para analizar las cabeceras de los correos electrónicos que uno envía. Para ello sólo es necesario entrar aquí: https://toolbox.googleapps.com/apps/messageheader/

Abrí el correo para obtener la cabcera dando click en la flechita que hay a la derecha en la pantalla y luego seleccionando “Obtener mensaje original”.

 

Por cierto, obvio ese no es el correo del tipo sospechoso. Y toda la pornografía abierta es porque.. hum.. porque busco vulnerabilidades en sitios pornográficos.

Ya con el mensaje original lo copypasteé en la herramienta de Google:

Le de click “Analizar la cabecera anterior”:

Y bueno, en este caso si podemos ver varias direcciones que provienen de la Casa de Cultura de Baja California Norte, sin embargo en el caso de mi sospechoso que estaba usando una cuenta de Google, ¿adivina que fue lo que vi?, así es, sólo direcciones 10.x.x.x que pertenecían al mismo Google, así que primer intento fallido, no era posible encontrarlo así.

Por el poco contexto que me había dado el oficial de alto rango, el sospechaba de todo mundo, pero era más que obvio que el leak tenía que ser interno, además de que veía muy difícil que hubiesen podido extraer la información de las instalaciones, porque tenían fuertes controles de seguridad… este, si; y por eso se pueden conectar a Gmail para enviar correos, suena lógico.

En fin, Plan B, decirle que le voy a comprar los documentos, citarlo en un sitio público y cuando llegase darle unos tehucanazos, secuestrarlo y hacerle pocito hasta que confesase… sin embargo tenía un problema, el sospechoso se encontraba en Yucatán. Lo cual literalmente está al otro lado del país que yo, así que el Plan B tendría que hacerlo esperar.

Con la información que me había enviado de prueba intenté hacer una relación de la información, y recordé a un español que siempre está usando un gorrito; Recuerdo que hablaba de metadatos esto, metadatos aquello, metadatos, metadatos, meta, datos, datos, meta… entonces de pronto algo en mi interior me dijo “vendetta… ¡analiza los metadatos!, joder tío”.

Para analizar los metadatos hay montones de herramientas de hecho recuerdo que Chema Alonso había liberado una versión de su herramienta FOCA, pero más enfocada a análisis forense y que extraía la información de los metadatos de una imagen de disco duro o archivos seleccionados y los correlacionaba entre sí, pero no encontré la FOCA forense, o al menos no con un checksum que me permitiese estar seguro que no estaba infectando mi equipo. Así que decidí buscar en Kali Linux que podía utilizar, y… no encontré nada, pero me encontré una herramienta llamada ExifTool que es fácil de instalar en Kali.

vendetta@quesadillasinqueso:~$ sudo apt-get install libimage-exiftool-perl exiftool

Como todo en los Debian based, las cosas son mágicas cuando son mágicas, trágicas cuando no… para mi suerte, esto resultó mágico. Y teniendo la herramienta instalada, no hice más que meter toda la evidencia al directorio y ejecuté la herramienta con el path para analizarla:

vendetta@quesadillasinqueso:~$ exiftool /home/vendetta/UltraTopSecretPathDelSospechosoQueQuiereChantajearAlOficialDeAltoRangoConCosasRarasDeSuVieja/

Y me encontré:

Bien, encontré el nombre de la persona que originalmente hizo el documento, la herramienta y versiones del software que utilizó para crearlo. Pero eso no me era útil, esa persona era de intima confianza del oficial de alto rango, así que quedaba descartada de entre los sospechosos. Por cierto, también encontré una carita de pánico entre los metadatos… el documento estaba asustado, tanto como yo.

Las fotografias tenían algo más de información, pero realmente no muy útil, lo que más pude obtener fueron las coordenadas de donde fue tomada la foto que metí directamente en Google Maps y me apareció la dirección del cuartel. Eso lo único que me confirmó es que el sospechoso tenía que ser parte del cuartel para poder tener acceso a él, pero nada más.

Pensé y pensé… y de pronto se me ocurrió algo. Ya que el sospechoso me estaba respondiendo pensé que podría enviarle una imagen sencilla, algo como una firma en mis correos electrónicos o un cuadrito en blanco que estuviese alojado en un servidor de mi control, y que cuando él abriese el correo electrónico se hiciese una petición a la imagen; ya teniendo la petición de la imagen entraría a los logs del servidor web para verificar la IP desde donde sea hacia la HTTP request y si corría con la suerte de que la estaba haciendo desde dentro del cuartel pedirle a alguien que me ayudase a validar en el appliance que estuviese como gateway de Internet del cuartel que dirección IP interna había hecho esa request.

Subí a ti una imagen en blanco: http://bigshot.beer/blanco.png

Y literalmente copié y pegué la imagen en Gmail, ya antes había hecho este truco cuando intenté rastrear a alguien en un chat de Messenger de Facebook y funcionó, pero en esa ocasión no; resulta que para Gmail copiar una imagen y adjuntar es exactamente lo mismo, así que al momento de pegarla en el cuerpo del mensaje mi imagen se terminaba convirtiendo en una imagen con una referencia interna de Google. Intenté adjuntarla con un tag de HTML directamente en el correo y nada, esos de Google han resuelto muchas cosas, así que adiós a mi brillante plan C.

La verdad se me estaban acabando las opciones y me puse a buscar un vuelo para poder irme a Yucatán. Aunque tampoco tenía como idea de que haría allá una vez que llegase. Podía ir al cuartel y todo, pero llegando allí no tendría mucho apoyo por parte de las personas que se encargan de administrar la red del cuartel porque obvio todos son sospechosos, y el oficial de alto rango, aunque era de muy alto rango no era una persona que me pudiese prestar los accesos a las consolas. Así que tenía varios planes en mente, pero todos ellos no parecía que me pudiesen llevar a algo.

Mi Plan D era llegar directo, conectarme al gateway de salida que podría ser un router o un firewall y sniffear a ver si veía la referencia de la imagen en blanco en Google. Que por cierto, una vez que Google renderíza la imagen esta se vuelve una referencia estática, así que pueden checar el nombre gigante de la imagen en un HTTP request normal y si tienen suerte lo verán, el problema es que viaja por HTTPS, así que hum.. bueno, tal vez lo viese en un GET pero no estaba seguro.

El Plan E era que si de todas formas todo lo que iba a ver estaba cifrado, llegase a intentar conectarme a la consola del firewall; ya fuese que con mi enorme encanto convenciese a un administrador de red o que atacase a uno de los administradores de la red para que se conectase al gateway y en ese momento cachase sus contraseñas y pudiese obtener las credenciales. Ya una vez conectado ingresar tranquilamente a revisar los logs en búsqueda de las personas que hayan accedido a Gmail y poder ir reduciendo mis opciones de sospechoso.

El Plan F era llegar y hacer un ARP poisoning a todo y contra todos… ok, ese era un pésimo plan.

Pues bien, el tipo se estaba impacientando y yo me estaba quedando con pocas opciones y se me estaba revolviendo la cabeza; así que lo único que se me ocurrió fue platicar con él a través de los correos y decirle que si, que aceptaba pagarle sus $70, 000 dlls y pedirle que me asegurase que la información que me ofrecía era cierto; tal vez en el último de los casos pagaba la información le decía al oficial de alto rango que la había recuperado, lo citaba en un sitio público e íbamos al Plan B de los tehuacanazos.

Mientras buscaba mi vuelo a Yucatán pasó algo, el topo empezó a enviarme información de prueba cuando vio que le asunto iba serio y estaba dispuesto a pagar, y entre las cosas que me envió fue un PDF que yo no pude abrir, con mucha sinceridad le dije que el archivo estaba dañado, me dijo que era porque había intentando sólo enviarme la primer página a modo de prueba y salió mal, pero que me enviaba un Word para validar.

¿Momento?, ¿acaba de decir un archivo de Word?…

De nuevo pasó por mi mente Chema Alonso, sus metadatos, y una conversación que tuvimos donde le pregunté cual era el propósito de que FOCA hiciese un scouting intentando relacionar información de documentos de Office, pues bien, los metadatos; los documentos de Word, principalmente, están llenos de metadatos que permiten su recuperación en caso de falla, manejo de versiones, incluso pueden llevar hasta una síntesis de la información que contiene el documento.

Así que analicé el documento y…

Pues bueno… el análisis de los metadatos de Word no sólo me arrojó el nombre de la persona que ya conocía había creado el documento inicialmente, sino que me arrojaba el nombre de la persona que dentro del Dominio del cuartel había hecho la última modificación del documento, y para que no tuviese dudas, también me decía cuantas revisiones se habían hecho al documento. La primera en su creación/lectura inicial cuando el sospechoso la obtuvo, la segunda, hecha por un tal Alonso Ríos, que era el nombre del sospechoso, y nada más para confirmar la hora en la que lo había hecho, un minuto antes… ¡pwned!.

Pues bien, el juego había terminado para nuestro amigo Alonso, lo iban a despedir e incluso podrían fincarle algún tipo de demanda, debido a que lo que había hecho era un delito… o eso pensé.

Avisé con toda mi evidencia al oficial de alto rango, lo estaba viendo por una conversación de FaceTime y obviamente se le vio muy feliz cuando escucho el nombre; vi a través de la cámara que hizo algunos ademanes, y que otros soldados salieron corriendo, medio me preguntó como era que lo había conseguido y yo medio intenté explicar, aunque creo que no me entendió mucho; unos minutos más tarde vi a los soldados entrar con una cosa que parecía un bulto a la oficina donde estaban, escuché un gracias, recibí un SMS con un depósito en mi cuenta bancaria y se perdió la conexión.

Bueno… así es la vida, pensé. Verifiqué el saldo en mi cuenta, acomodé mis calzoncillos en el armario y salí a cenar. Fui al Hooters, donde casi siempre cenó a platicar con Betty, la mesera que atiende la barra que desde que me mudé a Mexicali conozco; y mientras estaba en comiendo unas alitas 3 mile island, Mam me envió un correo con un boleto a Yucatán.

Bueno… parece que al oficial de alto rango se le pasó un poquito la mano, y heme aquí, en la orilla de un río deshaciendome de la evidencia, y no exactamente la digital.

Le platiqué mi prestanombres Eduardo, que usualmente llamo Lalo; pero que por razones de extrema seguridad; le llamaré Joven Candia, me preguntó si no me sentía mal por haber dejado a una viuda y dos niños desamparados, dijo que no podía creer que pudiese dormir; pero la verdad es que el avión me quedé muerto. Después de pensarlo bien, el Joven Candia coincidió conmigo en que hemos pasado tiempos peores, yo le dije que si… realmente no recuerdo tiempos peores a estos, pero él además de defender redes de día y hacer análisis forenses reales; de noche es abogado, es mi abogado… entonces uno le tiene que creer a su abogado.

Hemos pasado tiempos peores, podría ser peor.

Tip: querido diario… si un día tienes que embolsar a alguien en bolsas de basura, ponle doble bolsa, porque las bolsas de basura son muy delgaditas y se rompen con facilidad 😉

Marcar el Enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *