Miércoles, 29 de Noviembre de 2017: o_O

Querido diario…

¿Cómo se calcula la eficiencia de ejecución de un proyecto?, ¿cómo genero un proceso a partir de un servicio de consultoría?, ¿cómo calculo los costos asociados a la operación?, ¿cómo calculo los costos de operación?, ¿cómo calculo y distribuyo la transferencia de costos hacia los clientes intermedios, internos y finales?, ¿cómo desarrollo proyectos de mejora?…

Yo recuerdo que fui a la escuela, no fui muy seguido y no entré a muchas clases; pero de menos sabía medio lo que se veía en clase, pedía los apuntes para estu… bueno, ok, ok les sacaba reducción y los usaba de acordeones, pero puedo estar completamente seguro que nada de eso que necesito hacer me lo enseñaron en algún sitio.

Estoy teniendo un dejavu de cuando en Bimbo me subieron al montacargas y no sabía ni como prenderlo, o de en Skyworks cuando me dieron los cablecitos y los aparatos raros y ni inglés sabía para encender el osciloscopio 🙁

¡Ahhh! si, si sé que es un osciloscopio… no me preguntes como, pero si sé.

Querido diario, creoque es momento de preocuparme por mi futuro laboral… lo bueno es que vi en Calimax unos anuncios de se busca vendedor.

Martes, 28 de Noviembre de 2017: ¡Ayúdame!

Querido diario…

A veces intento no ser mala persona y ayudar a aquellos que acuden al gran, al único, al increíble… vendetta [inserte emoticón con lentes aquí].

El día de hoy me buscó un amigo y me dijo “gran y todo poderoso amigo mío, que me han hackeado, ayúdame, tú que estas en las alturas del cielo”… después de hacerlo sufrir un poco, cobrarle un café, un crossaint, burlarme de él y ver como el ceño se le transformaba en tristeza y frustración, decidí hacerle caso.

Bueno, pues resultado que al muchacho lo tenían hackeado desde hace varios hum… ¿años?, la verdad es qué ni sabe; sólo la semana pasada contrato a alguien para actualizar su sitio web y de pronto, ¡zascuash! que se da cuenta que tenía una C99 en el servidor web… eso estrictamente no debiese de ser tanto problema, porque pues lo máximo que uno podría imaginar que pasaría es que se heredan los privilegios al shell y se pueden ejecutar algunos comandos, pero obviamente debiesen estar limitados por los permisos del usuario… pero…

Bueno… para no hacerte el cuento largo, estaba ejecutando Apache como root; y como el sitio anterior era un CMS y a veces le daba problemas de permisos al subir archivos y crear directorios desde la aplicación, le dio un chmod 777 ./ a todo el ROOT directory. Ya cuando me empezó a contar eso la verdad es que me daban ganas de reñirme, pero intenté guardar la compostura, lo miré con cara de preocupación y le dije:

- Oye.. la señora que hace la limpieza de mi casa no se ha presentado en una semana, ¿trabajarías como mi sirvienta?

Jajajaja lo sé, lo sé… pero ¿qué puede hacer uno cuando le platican este tipo de cosas?

La verdad es que es complicado ya hacer algo cuanto te encuentras hackeado de esta forma, porque si vemos un simple ejemplo con una shell básica que yo hice en PHP y como se ve cuando se ejecuta, veremos lo siguiente:

Si lo vemos, lo único que estamos haciendo es pasar un parámetro el cual se está ejecutando como parte de la aplicación; lo cual lo hace poco posible de detectar. Al menos no sencillo, para hacerlo se requeriría tal vez algo como Imperva para poder detectar ese tipo de problemas.

Creo que la solución se encuentra en evitar que archivos de este tipo sean admitidos por la aplicación, tal vez incluso poder parsear los diferentes archivos que se suban, sean o no asociados a una extensión y poder evitar que se suban los que tengan contenido malicioso, porque desde el post se ve cuando se esta subiendo un system() que siempre va a ser malo.

Lo peor de todo esto es que una vez dentro no se sabe que tan lejos pudieron haber llegado, el hacerlo es demasiado complicado y puede que en lo que estamos intentando descubrirle, pasen cosas peores… no es burla, pero…

Querido diario… jajaja ya no me creen las técnicas chamaqueadoras 😛

Domingo, 27 de Noviembre de 2017: Remedio Augustiano

Querido diario… sólo tienes que mezclar

  • Una taza de agua
  • Un sobrecito de té Teraflú de limón
  • Exprimir medio limón
  • Endulzar con una cucharada de miel natural
  • 2 Tabcin de día o noche, dependiendo de a que hora lo tomes
  • Una aspirina
  • Un paracetamol
  • 2 Next
  • Un chorrito de RedBull

… Achuuuu!, gripe y calor cachanillo… que mala combinación +_+

Jueves, 23 de Noviembre de 2017: Arigato Mr. Jong

Querido diario… hace no mucho tiempo básicamente tuve que comprometer una ciudad completa. Intercepté correos, cámaras, entré a muchos sistemas SCADA, tomé dominios. Yo lo hacía porque necesita conseguir un empleo, de lo que fuese, pero nadie me daba uno; así que para darme más ventana lo que hacia era eliminar a la competencia.

En realidad fue una estrategia muy tonta, porque en Mexicali la gente aun va a entrevistas y prepara curriculums; así que no funcionaba mucho, pero era mi forma de darme ventaja.

Me volví tan hábil en poder intervenir y espiar la vida de las personas, que para todo ya hacia lo mismo MITM, MITM, MITM; de muchas maneras, pero todo decantaba en un MITM. Un día por ejemplo, intenté conseguir un boleto para un concierto de Belinda, e hice un MITM a la mayor parte de la ciudad… teras y teras de tráfico. Después empecé a usar mucho las pineapple; y un día leí algo muy feo de una persona muy mala, que ni siquiera conozco o había conocido; y lo hice leyendo lo que enviaba por whatsapp desde su celular a otra persona cuando me reconoció, que tampoco conocía; pero también fue mala. Incluso pude saber que desde meses atrás me tenía vigilado en redes sociales (vigilado a nivel normal, es decir todo el tiempo se la pasaba leyéndome).

Una amiga incluso me llegó a decir que si yo podía saber todo; y parecía que si.

Hoy estaba platicando con alguien que siempre ha dudado de mi, ultimamente ya no tanto, pero supongo le parecía muy improbable que alguien que estaba muriendo de hable dedicándose a ser un ingeniero de QA pudiese hacer todo lo que le decía; yo también no me habría creído. Pero ahora que ya sabe que es verdad, me preguntó si de verdad tenía que poner un postip en su webcam, y le respondí de una forma genial:

Como cuando era consultor le solía decir a los clientes “si alguien lo quiere hackear, no importa haga lo que haga, lo van a hackear; mi trabajo no es impedirlo, es que cuando suceda generé el menor impacto posible”; así le diría a quién me preguntase… teoricamente, si; puedo saber todo de todos, donde comes, donde duermes, en que ciudad estas, cuando sales de ella; la ruta que seguiste para llegar a tu trabajo, puedo conocer como te peinaste hoy, la foto que enviaste, los mensajes… si, teoricamente; puedo saber todo.

Querido diario.. Korea del norte tiene submarinos más pro que EEUU.

Lo más curioso de todo es cuando dices cosas que teoricamente no debieses de saber, pero se te olvida y se queda la gente con cara de “o_O” … como hoy, felicité a un amigo por su cumpleaños, y le dije “dice Facebook”, me dio las gracias y todo y a los 5min me dijo “hey, pero yo no tengo Facebook”.

¡Ups!.. perdón, no se como pasó jajaja 😛

Algo que tengo muy presente es que entre más información tengas, más preparado estas para todo. Si yo hubiese obtenido la información de esas dos personas que intercepté sin querer en un restaurante de sushi usando el pineapple hasta un año antes, habría sabido todo.

Tal vez el abuelo DeadSector de Raza Mexicana tenía razón… el hacking es un estilo de vida. Yo como le llevo la contra a todo mundo, siempre me burlé de eso.

Por eso es que muchas veces le decía a mi asesor Leonel de León que todo mundo sabía mi password y no me preocupaba. La verdad es que yo no soy uno de esos hacktivistas amante de las libertades, porque en el fondo me aprovecho de la falla en esas libertades; y la otra es que la información que quiero proteger esta protegida bajo métodos, que bien o mal creo que al menos dificultarían a mucha gente obtener. Si leen mis chats, bueno.. no me importa, mis correos, incluso si leen cuando me conectó a mi blog; no me importa… eso no quiere decir que no haya regresado la visita en más de una ocasión.

Ahora, algo importante es ¿qué haces con todo eso que sabes?. Depende, personalmente hace no mucho un amigo me dijo algo que me hizo molestar mucho; al mismo tiempo estaba engañando a su novia que juraba amar, con otra tipa; yo no hice más que exponer sus conversaciones de Facebook para que ella las leyese. Lo llamé como algo tipo justicia; supongo sabrán lo que pasó. Lo que intercepté en el sushi… es algo muy personal; y aunque lo hubiese mostrado no quería que la diferencia fuese por eso… en la escuela (si, si, yo fui a una escuela) vendía fotografías de las pocas mujeres que había que de pronto mandaban en cueros por messenger, hi5…

Creo que al vendetta de ese entonces; que era el vendetta pro; el hecho de tener información que dañase a alguien en automático sería sinónimo de hacerle pública; al vendetta de ahora… la usaría para mi beneficio personal o para vengarme de alguien cuando lo necesitase.

Lo sé Querido diario.. soy una mala persona.

Por cierto, tal vez debiese de publicarte… la gente se divertiría contigo.

Martes, 21 de Noviembre de 2017: Prófugo de la justicia chilanga

Querido diario…

Estoy todo destemplado de horarios; el día de ayer estaba viendo la cuarta temporada de Vikings y a las 7pm ya me estaba quedando dormido, me quedé tan dormido que ooootra vez volví a tirar el celular, y la pantalla china murió, y murió feo. Me quedé dormido y a las 2am ya estaba despierto… que era la hora a la que despertaba en Bogotá.

Me desperté y me puse a buscar un bug bounty para despejarme, y encontré uno… la mayoría de las personas creen que el hecho de que uses AJAX, React, V.JS y todas esas cosas raras en automático ya estas asegurado. Bueno, la realidad es que no; de hecho yo trabajaba como QA (si, si… doy pena) en una empresa donde usaban cosas monas así más Laravell, y lancé un Burp Suite a lo loco y deje inusables las aplicaciones porque les encontré fallos por todos lados.

Pero bueno, encontré un response más o menos así:

{“success”:true, “status”:”cosa”}

Así que intenté inyectar un tag de HTML en el status, y si, en efecto; lo reflejaba a la primera… así que pues ya tú sabe:

{“success”:true, “status”:”<onmouse over%3Dalert(1)>:cosa”}

Y pues ya, el día parecía muy bien, me resolvieron rápido y me lleve unos cientos de dólares.. cuando de pronto recibí una llamada de casa en el DF, acaba de ir una patrulla a buscarme por delitos como extorsión, asesinato imprudencial, homicidio calificado, tráfico de drogas y otras cosas más…

Me preocupe un poco, así que recordando que mi abogado había metido un amparo para evitar mi encarcelamiento, le pregunté que hacer.

Querido diario… tengo la extraña sensación de que debo de huir a EEUU aprovechando que vivo al lado, porque se va a poner feo.

Por cierto, quieroooooo esto de regalo de Navidad:

Es lo más genial del mundo 😛

Lunes, 20 de Noviembre de 2017: Adelante, atrás, adelante, atrás… atrás, adelante… atrás, atrás

Querido diario…

A veces cuando estas buscando un fallo, sobre todo de los que tienen que ver con input validation, en aplicaciones productivas; puedes tardarte mucho debido a la gran cantidad de variables que llevan. Hay variables para todo, no únicamente las típicas variables para enviar datos, sino hay variables de control, variables que se usan para confirmación de datos como los tokens, o información que viaja por las cookies; e incluso algunos que se usan para controlar el front-end de las aplicaciones.

Usualmente basta con usar un HTTP proxy, modificar y reenviar con el repeater (en Burp Suite), o algo parecido.. pero hoy encontré una extensión de Chrome interesante para cuando tienes que reenviar varios requests a la aplicación:

BugReplay es una extensión que te permite grabar varias requests y generar test cases para probar tus aplicaciones; le encontré muy útil para hacer varios calls en AJAX.

En el web site puedes registrar una cuenta para accerder a reportes y cosas así, pero a mi en lo personal eso no me pareció útil, es más como para QA’s pero… cofff.. coff.. espero jamás tener que ser eso en mi vida.

Querido diario.. hay niveles, ser QA fue de las cosas más denigrantes que he tenido que hacer en mi vida para sobrevivir.

Viernes, 17 de Noviembre de 2017: El gran, el único, el increíble, el imbatible… vendetta

Querido diario..

¿Tuve éxito?.. pfff.. ¿qué si tuve éxito?… yo jamás fallo. Metí toda la cocaína en bolsas de café y woala… rumbo a México.

No, pues obviamente no.. pero todo mundo me pidió café, eso es sólo mi maleta, además en el avión voy a llevar más para lo que dejaré en el DF, enviaré a algunos amigos de Aguascalientes y Сабин en Moscú.

¿Qué cómo lo logré?.. bueno, es una historia muy buena de contar, de esas que se contarán por años.. “el gran vendetta.. cruza 40 kilos de cocaína en el aeropuerto más seguro del mundo hackeando todo”… mañana te cuento, ando muy cansado; y hoy no es buen día… pero tuve tan éxito, pero me invitaron a otro trabajito.

Buen un gran, gran viaje.. y les agradezco mucho a Paula, Nicole, Yesica, Win, Celis, muchacha paraguaya, muchacha argentina, Camilo, Paulo… de verdad ha sido el país más cálido que he visitado.

Querido diario… sabes a qué vine a Colombia, ¿verdad?

 

Miércoles, 15 de Noviembre de 2017: ¿cual es tu súper poder?

Querido diario…

- Oye... ¿me puedes traer la promoción del reto con la 911?
- Claro, pero le comento que esta muy picante
- Hum... ¿pero no me ves?, ¿piel tostada, ojos oscuros, mi acento?.. soy mexicano
- Si, pero mire que han venido varios mexicanos acá, y aun así no han podido con el aji
- Pero además soy chilango
- ¿Eso que es?
- Somos mexicanos, pero más chidos; nos hicieron los dioses a mano a subyugar a los otros mexicanos
- En serio señor, mire que se me va a enfermar, si quiere le preparo unas pocas, y otras con otro aji
- A ver, si me como 10 me das una cerveza, ¿cierto?... bueno, hagamos esto, me como 20, las más picosas, y me cambias la cerveza por un bourbon; y si pierdo te dejo el 50% de propina en efectivo. ¿Hecho?
- Pero señor
- ¿Hechoooooo?

[Inserte escupitajo aquí]

- Oye, que sea un Jim Beam con agua, por favor.

Querido diario, creo que mi estomago es de acero… jajaja por cierto, todos me piden que lleve café a México; y tantos me piden que se me ocurrió… comprar una megabolsota 😛

 

Martes, 14 de Noviembre de 2017: ¿Cual es tu mejor hackeo?

Querido diario…

Ya tengo amigos, y me llevaron al cine… y a comer. Tengo un amigo, bueno… hay que guardar las identidades de todos.. pero tengo un amigo pipope, un veracruzano, una regia, una paraguaya, dos bogotanas y una argentina. y hoy comiendo les expliqué básicamente como me ganó la vida. Ósea no justamente la parte fea donde tengo que pasar varios de cocaína de un país a otro, sino lo que hay detrás y a lo que hace mucho tiempo me dedicaba… vulnerar sistemas.

Y les hice una simple demostración en donde entré a un CMS interceptando las credenciales de uno de ellos. De lo más simple, luego les expliqué como podía saber la posición exacta de una persona a través de un web service, comprometiendo su celular con un SMS. ¡Básico!.

Unos sushis más tarde, creo que mis nuevos amigos me tenían un poco de miedo. Nunca he entendido eso, los amigos no se hacen cosas malas, así que no tendrían porque preocuparse, yo jamás les haría algo. Pero ellos estaban asustados, y una de ellas me preguntó.

– Oshe pibe, deja ver se entendo; eres jodido pelotudo que haces todo de todos, podrías sacarme mis nudes del Tinder y contarle a todos mis secretos. Pero, ¿alguna vez has hecho algo bueno con todo eso?, ¿algo que la gente diga wow, el vendetta, jodido boludo que bueno que estaba aquí?.

Y recordé que si, en efecto… una vez hice algo bueno.

Corrían los años del 2013, yo trabajaba como pentester en el área de consultoría de una empresa de data centers en México. De pronto un cliente pidió hacer una consulta y me mandaron a mi; realmente no sabía ni que querían, a veces pensaba que era un incidente, tal vez dimensionar un proyecto, no tenían idea.

Me comuniqué con el cliente y me dijeron si podía recuperar una contraseña de Facebook, teoricamente un profesionista no debiese hacer eso; pero ya estoy tan acostumbrado que dije “claro que si, sin problemas”. Al día siguiente tomé el autobus a la ciudad donde debía de realizarlo y me fui.

Un día antes le pedí ciertas cosas: un servidor con Backtrack (en ese entonces aun no era Kali) y una dirección IP homologada. Mi idea, simple.. montar un SET con Facebook y atraer a la víctima, ¿qué podía salir mal?.

Al llegar a las oficinas me di cuenta que el cliente no era cualquiera cliente, era una agencia de inteligencia. Entré y me llevaron al site donde estaba el servidor; me pusieron una cámara al lado y me empezaron a grabar. Era algo extraño, pero seguí trabajando. De pronto escuché un grito y entró un tipo medio de avanzada edad muy algo y gordo, me jalo del cuello y gritó:

– ¡Traíganme a ese hijo de la chi&%/( para acá!

Las personas que me habían recibido, que hasta donde sé eran como los encargados de sistemas, se disculparon por el comportamiento del tipo y me llevaron a una oficina donde estaba allí sentado. Me miró, me hizo una seña para que me sentase, se sentó y sacó una pistola que pusó de forma firme en el escritorio que nos separaba.

– ¿Quién chin&/( eres tú que le moviste algo a mis servidores?

Como consultor amable le intenté explicar lo que estaba haciendo a lo que sólo me grito varias cosas que no puedo escribir; luego me empezó a preguntar algunas cosas a modo de control, y cuando pudo verificar que yo realmente era quién decía ser, me dijo:

– Bien, te voy a explicar el problema.

La situación era está. Me encontraba en un área de inteligencia del estado; había un tipo que enamoraba niñas, las secuestraba, las violaba, las descuartizaba, guardaba todo eso en vídeo y luego lo vendía en la deep web. Ya llevaba varias víctimas y unos días antes había secuestrado a una niña de 16 años; así que mi misión era hacerme pasar por su hermana y obtener el password de algo que me persistiese obtener su ubicación.

¿Era complicado?, bueno en realidad relativamente pero todo se volvía complejo. No era lo mismo estar intentando obtener una contraseña cuando sabes que si no encuentras nada bien, porque el cliente está seguro y se la encuentras, igual bien porque demostraste que estaba inseguro; a que de tus acciones dependa la vida de alguien.

En ese entonces yo no estaba envuelto en problemas como los actuales; era una persona normal con un empleo normal.

Al final lo conseguí, si usé SET, me hice pasar por la hermana de la niña secuestrada y mandé una imagen por el chat de Facebook. Hoy en día cuando se manda una imagen por el chat de Facebook se carga la imagen al servidor y obvio tiene una ruta diferente; en ese entonces no, se copiaba el link, se precargaba y hacia la petición hacia la imagen original. Por lo que obtuve la IP y pude dar una localización aproximada que mediante técnicas policiales sirvieron para encontrar al tipo.

No, la historia no acabó bien, la niña no se puedo salvar, pero al menos se evitó que volviese a pasar; y el tipo fue capturado. Cuando me fui de la oficina del cliente estaba dandole unos tehuacanazos y con el fiscal inventando una historia coherente para poder justificar que estuve realizando acciones ilegales para encontrarlo.

El general me invitó unos tacos de carnitas; uno de los agentes me preguntó como modificar el fstab en Linux. Y tomé mi autobus para regresar a la ciudad. Una semana más tarde renuncié y me fui a vivir a Aguascalientes.

Fue un proyecto raro, pero probablemente es una de las pocas veces en las que algo que hice tuvo un impacto positivo.

Sé que he hecho muchas cosas malas y no se compensa, pero podría hacer cosas buenas, sólo… supongo mi destino es hacer todo mal.

Cuando platiqué eso mis amigos dijeron “wow”, y sólo dije “si, wow… pero, mira.. tengo tu password”. Se rieron y pensaron que había sido broma mi historia. No lo había sido, pero creo que es mejor… soy vendetta, yo siempre soy mala persona.