Análisis de un Phishing (v.2)

Hace unos días recibí un correo electrónico que entró a la bandeja de entrada como uno más. El asunto resultaba sospechoso, ya que estaba en ingles y decía que había recibido un nuevo fax:

• New 2 page(s) eFax from (334) 306-5677

Vamos a analizar un poco más su contenido:

Figura 1: Analizamos un ejemplo real de phising

Enumerando las cosas extrañas que vi:

• El idioma es inglés
• ¿Se supone que alguien quiere mandarme un fax? ¿aún queda de eso?
• Tiene un fichero adjunto
• No conozco al remitente
• El teléfono de origen del fax no es español -> (334) 306-5677

Figura 2: captura de pantalla de mi bandeja de entrada

Me resultó extraño también que los filtros de gmail lo pasasen como bueno y no lo metiesen en la bandeja de SPAM, por lo que decidí dejarlo unos días más para ver como trata GMAIL el asunto.

Al cabo de unos días el mensaje fue movido a la carpeta de basura y varias alertas se podían ver al acceder al mail:

Figura 3: captura de pantalla de la carpeta de SPAM

El documento adjunto tenía extensión de WORD, pero pudiera ser un EXE camuflado o un WORD con macros, dos técnicas muy extendidas para difundir troyanos. Lo sorprendente es que toda la información de la empresa que al parecer tiene el fax que he de descargar y que ha hecho de intermediaria entre el usuario ficticio que quiere mandarme un fax y yo, es totalmente real, con datos reales de contacto, teléfono, mail, ... O sea, la empresa eFax es legítima y su identidad ha sido suplantada para hacer creer a quien recibe el mail que realmente hay un fax para él, es decir, un PHISING en toda regla. La calidad de la copia no es que sea buena, si no que es la misma que la de la empresa legítima: buena calidad en la imágenes, mismas imágenes corporativas que la empresa eFax, logos idénticos, no hay faltas de ortografía ni link a páginas extrañas. Simplemente un word adjunto con un troyano. ASOMBROSO !!!

Recomendaciones para evitar ser troyanizados en este caso: 

• no abrir correos de desconocidos 
• no abrir correos de idiomas de los que nos se esperan recibir mail
• nunca abrir los adjuntos directamente en internet, siempre descargarlo, analizarlo con el antivirus y luego si está limpio, abrir
• tener nuestro sistema actualizado
• tener un buen programa antivirus

Para terminar, un par de vídeos con unas demos de Chema haciendo un phising en directo:

Vídeo 1: Entrevista de Pablo Motos a Chema Alonso en El Hormiguero. En la entrevista se hace una demo de phishing para robar cuentas de Apple iCloud

El contenido de la demo está ampliada en esta dirección:

• http://www.elladodelmal.com/2014/09/robar-fotos-de-apple-icloud-de-un.html

Figura 4: web elladodelmal con entrada de información

Y otro vídeo con un breve resumen sobre phising:

Vídeo 2: el phising en 2 minutos

Saludos!

La familia maligna crece

Poco a poco la consciencia social por la seguridad informática nos está llegando cada vez más. Estamos muy lejos todavía de poder decir que la seguridad informática es algo que preocupa a la gente o que preocupa a los usuarios, pero desde dentro del sector parece que si nos va interesando cada día más. 

Hoy, añadimos a nuestro listado de lugares interesantes el blog de INSEGURO Y NAVEGANDO, quienes han desarrollado un Feed para Android sobre Chema Alonso. Su blog lo tenéis en esta dirección:

• http://insecureandbrowsing.blogspot.com.es/

y la entrada con la información sobre este Feed en esta otra:

• http://insecureandbrowsing.blogspot.com.es/2015/07/app-feed-de-chema-alonso-drmaligno.html

Figura 1: captura de pantalla de INSEGURO Y NAVEGANDO

Os animamos a visitar el blog y a hacer uso del feed para estar informados.

Nos alegra que nuestra pequeña familia maligna vaya creciendo en torno a Chema. Mucha suerte y ánimo, ya que los trabajos no remunerados siempre son dignos de admiración.

Saludos!

El acta de patriotismo ha expirado temporalmente

Hoy es noticia que el acta de patriotismo de EE.UU. ha expirado esta noche a las 00:00 horas por la falta de un voto que aunque no era necesario para renovarla hará que la ley esté sin amparo legal durante unos días o unas horas.

Tras los atentados del 11S, solo 6 semanas después de los hechos, se aprobó la ley de 343 páginas en las que el gobierno de los EEUU podía legalmente recopilar y analizar información relativa a las comunicaciones de los ciudadanos: datos como direcciones IP de las conexiones, hora y duración de las llamadas, número de origen y destino, ..., pueden ser recopilados y analizados por la NSA (National Security Agency), así como otras muchas normas no relacionadas con las TIC. Aunque aparentemente no pueden guardar el contenido de las llamadas, si que se puede obtener mucha información haciendo un análisis de los metadatos que acompañan esas comunicaciones, ampliando esa información haciendo un cruce de datos.  En el año 2003, se redactó y aprobó la ley del patriota II, en la que estás normas se recrudecían todavía más para el ciudadano,

Figura 1: el acta de patriotismo ha expirado

La votación en el congreso ha estado claramente del lado de la renovación, ya que no ha sido renovada con 77 votos a favor y 17 en contra, pero no a tiempo, por lo que estará durante unas horas o días sin el amparo legal. 

El pasado 25 de mayo, 47 empresas americanas del sector de la TIC, redactaron una carta solicitando al presidente Obama que esta ley dejase de estar en vigor, ya que las secciones 214 y 215 de la misma, relativas a los registros de llamadas y a la recolección de metadatos debieran de  estar limitadas para proteger los derechos y la privacidad de los usuarios. Según varias fuentes de internet, se asegura que Google, Apple y Microsoft también apoyan el contenido de la carta, pero tal vez una posición más precavida sin saber el resultado de la votación de esta noche pasada les ha hecho no figurar expresamente en la firma de la misma.

Este es el contenido traducido de dicha carta:

Los abajo firmantes representamos a una amplia gama de la privacidad y los derechos humanos, los defensores de las empresas de tecnología, y las asociaciones comerciales que mantienen una igualmente amplia gama de posiciones sobre el tema de la reforma de vigilancia. Muchos de nosotros tenemos diferentes puntos de vista sobre exactamente lo que las reformas deben ser incluidas en cualquier proyecto de ley reautorización de la Ley Patriota de los EE.UU. Sección 215, que actualmente sirve como la base jurídica para la recolección a granel de la Agencia de Seguridad Nacional de los metadatos de teléfono y se vence el 01 de junio 2015 . Dicho esto, nuestra coalición amplio, diverso y bipartidista cree que el statu quo es insostenible y que es urgente que el Congreso avanzar con la reforma.

Juntos, estamos de acuerdo en que los siguientes elementos son esenciales para cualquier esfuerzo legislativo o de la Administración para reformar las leyes de vigilancia de nuestra nación:

• Debe haber un final claro, fuerte y eficaz de las prácticas de recolección a granel bajo la Ley Patriota de los EE.UU., incluyendo bajo la Sección 215 registros de autoridad y la autoridad en relación con la Sección 214 registros de la pluma y dispositivos de trampa y traza. Cualquier colección que no se producen en esas autoridades deben tener las garantías adecuadas para proteger los derechos de privacidad y los usuarios.

• El proyecto de ley debe contener mecanismos de transparencia y rendición de cuentas para el gobierno y la presentación de informes de la empresa, así como un régimen de desclasificación apropiado para las decisiones del Tribunal de Vigilancia de Inteligencia Extranjera.

Creemos abordar lo anterior debe ser parte de cualquier paquete de reformas, aunque hay otras reformas que nuestros grupos y compañías daría la bienvenida, y en algunos casos, creen que son esenciales para cualquier legislación. También instamos al Congreso a evitar la adición de nuevos mandatos que son controversiales y podrían descarrilar los esfuerzos de reforma.

Han pasado casi dos años desde que las primeras noticias revelaron el alcance de las actividades de vigilancia y recolección a granel de los Estados Unidos. Ahora es el momento de asumir las reformas legislativas significativas a los programas de vigilancia de la nación que mantienen la seguridad nacional, preservando la privacidad, la transparencia y la rendición de cuentas. Alentamos firmemente tanto la Casa Blanca y miembros del Congreso para apoyar las reformas anteriores y oponerse a cualquier esfuerzos para promulgar una legislación que no se ocupa de ellos.

Veremos lo que sucede con el paso de los días.

Para ampliar información de como se ejecuta la recogida de datos masivos, os pongo unos enlaces al blog de Chema elladodelmal.com donde hace varios análisis sobre ello:

• 15 de enero de 2014: 49 productos de ciberspionaje de la NSA creados por ANT

Figura 2: elladodelmal.com: 49 productos de ciberespionaje de la NSA

• 6 de diciembre de 2014: Cómo la NSA espía las llamadas de teléfono y la regulación de las medidas de investigación tecnológicas en España

Figura 3: elladodelmal.com: como la NSA espía las llamadas

• 8 de septiembre de 2013: 0wn3d! (o cómo la NSA mató el espíritu de Internet)

Figura 4: elladodelmal.com: como la NSA mató el espíritu de Internet

Como reflexión final:

• ¿como afectará este nuevo estado de la ley a los agreement de los programas de empresas americanas que tenemos instalados y usamos?
• ¿habrá que aceptar unas nuevas políticas de uso para estas próximas horas o días?

Saludos!

¿Quién es quien? Sergio de los Santos

Siguiendo con la saga de los ¿quién es quien?, hoy quiero centrarme en un gran desconocido para mi, pero que es sin duda unos de los hacker más importantes de estos tiempos. Su nombre es Sergio de los Santos.

Figura 1: ¿Quién es quien? Sergio de los Santos

Mi desconocimiento es debido simplemente al hecho de no haber coincido con él en los vídeos que veo en youtube o la literatura que tengo. Pero el mes pasado me interesé en comprar un libro de 0xWord que me pareció muy interesante: Máxima Seguridad en Windows: Secretos Técnicos. 3ª Edición revisada y ampliada, pero me comentaron que me esperase unos días por que la nueva edición estaba en marcha. Así lo hice y por fin lo tengo aquí:

Figura 2: Máxima Seguridad en Windows: Secretos Técnicos. 3ª Edición revisada y ampliada

Cuando me llegó, vi que el autor era Sergio de los Santos. Había oído hablar de él a Chema en algún vídeo, así que empecé a buscar y encontré un pilar muy importante en la seguridad informática mundial.

Sergio es malagueño. Tiene publicados 4 libros de seguridad informática, ha sido responsable del blog más antiguo de seguridad informática informática en español, http://unaaldia.hispasec.com/ desde 2006 a 2013, ha escrito para periódicos, revistas y publicaciones relacionadas con la informática, ha sido responsable de seguridad en varios periódicos, ha trabajado en Hispasec, ha sido dos veces MVP de Microsoft,..., ufff, menudo historial. Y actualmente lidera el laboratorio técnico de ElevenPaths!!!. Si forma parte del gran equipo de Chema Alonso y Chema ha estado muy interesado en trabajar con él, el resto lo podéis imaginar.

Figura 3: 1ª entrada de Sergio en "una al día" (creo que es la primera, 11 de enero de 2006)

No quiero que esta entrada se convierta en un copy-paste de otras webs ni hacer una biografía de Sergio, si no que mi único interés es crear una llamada de atención para que si no conoces el trabajo realizado por él, te salte una alarma interior y que empieces a interesarte por lo que ha hecho. La verdad es que es muy interesante, tanto por el contenido como por la forma de exponerlo. Hay varias entrevista ya realizadas que puedes encontrar en estas direcciones:

• Entrevista en la web de la OSI: https://www.osi.es/es/actualidad/blog/2013/02/12/sergio-de-los-santos-debemos-quitarnos-de-una-vez-de-la-cabeza-que-el-mal

Figura 4: entrevista en la web de la OSI

• Entrevista en protegerse.com: http://blogs.protegerse.com/laboratorio/2012/03/23/sergio-de-los-santos-hispasec-sistemas/

Figura 5: entrevista en protegerse.com

• Entrevista en elladodelmal.com: http://www.elladodelmal.com/2009/01/entrevista-pajarraco-de-los-santos.html

Figura 6: entrevista en elladodelmal.com

• Entrada del blog elladodelmal.com donde se da la noticia del "fichaje" de Sergio por Eleven Paths: http://www.elladodelmal.com/2013/06/sergio-de-los-santos-fichado-por-eleven.html

Figura 7: entrada de Sergio fichado por Chema para Eleven Paths

Para terminar, os pongo el enlace de uno de los últimos vídeos de Sergio hablando del malware en Android. No dejéis de verlo, es muy interesante.

Vídeo 1:  XI Ciclo de Conferencias TASSI 2015,
21 de mayo de 2015, Sergio de los Santos: Malware
 en Android y Google Play

Y para confirmar este "malor" entre Sergio y Chema, este vídeo es obligatorio (no os perdáis el minuto 7' 00", el 14'30" y el 1h 02' 00"):

Vídeo 2: UPM TASSI 2008 Conferencia 4: Evolución del

Malware: Malware 2.0; Antiphising y Antitroyanos.
Flujo Malware, Sergio de los Santos 2008

Así pues Sergio, seguiré de cerca tus trabajos y seguiré aprendiendo de todos vosotros. Gracias.

Saludos!

Comprando un RAT para espiar a empleados, hijos, pareja, ...

Siguiendo con el tema de ayer, en el que os comentaba que nuestro teléfono móvil puede ser troyanizado para convertirse en un bot, tal vez podáis pensar que solo es posible que hagan eso grupos de ciberdelincuentes o mafias organizadas que explotan las nuevas tecnologías para llevar a cabo su delitos y lucrarse con ello.

Con un poco de imaginación y paranoia podíamos buscar un culpable, tal vez las mafias chinas o de Europa del este que están tan de moda, o la NSA americana para tener datos nuestros. Igual es Google, Amazon o Apple para conocer nuestros gustos comerciales y darnos esa publicidad no solicitada.

Figura 1: Android nos confiesa que en ocasiones se siente vigilado

Pero, ¿y si te digo que este tipo de malware está a la mano de todo el mundo? ¿que cualquier persona puede comprarlo e instalarlo en su propio teléfono o en el de empleado o jefe, pareja o hijos?

Buscando en internet la oferta de empresas que venden este tipo de aplicaciones no es pequeña. Existen multitud de ellas en distintos idiomas y con tablas de compatibilidad de modelos de teléfonos. Te venden un ficherito que ejecutas en el teléfono (o lo mandas por mail, whatsapp, enlace, ... para que la "víctima" lo haga), y tiene un frontend, un panel de control que desde tu ordenador, tablet o smartphone te muestra todos los posibles ataques que podemos hacer. La lista de opciones no es pequeña, puedes hacer de todo con el teléfono infectado:

Espiar Llamadas

• Escuchar llamadas en vivo
• Grabar llamadas
• Registrar llamadas
• Registro de Llamadas VOIP4
• Escuchar sonido ambiente
• Grabar el ambiente
• SpyCam para FaceTime

Espiar Mensajes

• Leer mensajes SMS
• Enviar SMS falsos
• Leer E-mails

Espiar Passwords

• Espiar claves de acceso
• Espiar contraseñas de aplicaciones
• Espiar contraseñas de email

Espiar en GPS

• Ver & Rastrear Ubicaciones GPS

Espiar Chats 

• WhatsApp
• Facebook / FB Messenger
• Viber
• LINE
• Skype
• WeChat
• iMessage
• BBM
• Blackberry PIN
• Yahoo Messenger
• Snapchat
• Hangouts 

Espiar Remotamente

• Tomar una foto usando la cámara
• Reiniciar Dispositivo
• Comprobar estado de batería del dispositivo
• Control Remoto por SMS

Y mil funciones mas que no pongo por no alargar el post. Como veis, se convierte en un auténtico bot, lo puedes tener sometido a tu voluntad.

Figura 2: rastreo GPS de lugares desde los que se han mandado twits

Si como tecnología ves que está muy bien, muy completo, pero piensas que es complejo, todo lo contrario es muy sencillo de usar. ¿Y el precio? desde $15 tienes la posibilidad de comprarlo. Yo alguna web que he visitado también los he visto por $49,95 con licencia para un mes, $168 con licencia de por vida, ... precios muy asequibles para casi cualquier bolsillo.

Y ahora la parte comercial. Estos son algunos de los argumentos de venta que he leído:

• Programa XXXX se está convirtiendo rápidamente en el programa de rastreo de teléfonos móviles más popular. Si realmente teme que su pareja lo está engañando o si se preocupa porque su hijo se ha vuelto callado o está deprimido, definitivamente éste es su programa
• El mejor programa para espiar móviles por internet desde el ordenador, para saber si su pareja le engaña o es infiel. Ya no es necesario un investigador privado
• ¿Eres una pareja celosa, un padre cuidadoso, o un jefe preocupado? ¿Necesitas confirmar que tu pareja es sexualmente fiel, que tu hijo está seguro o que tus empleados mantienen un buen comportamiento? Espía en sus smartphones o iPad y deja de dudar. O protégete si no es así.

Todo esto se ve muy turbio!!! 

Pero ¿es esto legal en España?. El artículo 197 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal lo deja muy claro:

1. «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Figura 3: artículo 197 del código penal

¿Qué nos dicen en las web de venta de este programa sobre la legalidad?

Programa YYYY es perfectamente legal para instalar en su propio teléfono como principal solución de copia de seguridad . Pero por favor, asegúrese de que tiene permiso explícito de la persona cuyo teléfono se le supervisando y cuyo teléfono va a requerir físicamente con el fin de instalar físicamente Programa YYYY a ella antes de seguir adelante . Por otra parte, en caso de duda , revisar sus leyes locales del país y lea nuestro aviso legal aquí .

Visto lo visto, ahora la parte productiva:

Recomendaciones si tenéis un  iPhone:

• tened controlado el terminal en todo momento
• con passcode complejo
• sin Siri
• actualizado a la última versión
• sin jailbreak 

Si tienes un Android:

• tened controlado el terminal en todo momento
• con passcode complejo
• actualizado a la última versión
• evita bajarte apps con permisos raros
• pon un antimalware
• evita rootear el teléfono
• presta atención a la versión WhtasApp que te bajas (que sea del canal oficial)

Y unos enlaces para complementar la información:

• entrada del blog de Chema analizando más en profundidad estos RATS: http://www.elladodelmal.com/2013/11/troyano-para-espiar-un-android-o-para.html

Figura 4: entrada del blog elladodelmal : Troyano para espiar un Android

Vídeo 1: Chema Alonso y Jordi Évole troyanizando un móvil

Saludos!

Controlando nuestro móvil para "hacer el mal"

Ante la reciente oleada de móviles (smartphones) y táblets que nos han llegado a nuestro taller para reparaciones de tipo software (dispositivos que se bloquean, que no inician, que no apagan, que no dejan trabajar por avalanchas de mensajes de error y publicidad, ...), hemos investigado acerca del manejo que nuestros clientes hacen de estos dispositivos.

Por regla general se entiende que si un dispositivo trae Android, podemos ir a la Play Store y descargar juegos, programas y demás contenido por que son gratuitos. Bueno, no es que podamos, sino que "debemos" descargar todo contenido que pase por nuestra pantalla y nuestra memoria ROM nos permita. Para eso están. 

Pero, ¿podemos confiar en los orígenes de esas aplicaciones? ¿podemos fiarnos de que la finalidad de esas aplicaciones son las que el fabricante dice ser?

La respuesta es un rotundo NO.

¿Hay algo realmente gratis? yo nunca lo he visto. Si que es cierto que hay aplicaciones que tienen dos versiones, la PRO y la FREE, y el desarrollador nos ofrece esa versión FREE con la finalidad de que probemos las características del producto, con ciertas opciones "capadas", limitadas o deshabilitadas, y si nos gusta podemos comprar la versión PRO.

Fuera de esta política de uso, el fabricante casi siempre va a ganar algo con nuestra descarga e instalación. Puede que simplemente se lucre al incluirnos Ads publicitarios. Pero la realidad es que hay otras veces que se lucran con la instalación por que convierten nuestro smartphone en un bot. 

¿Qué es un BOT? Según wikipedia: Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano. O sea, un programa que instalado en nuestro dispositivo lo controla según las necesidades que un humano le haya dicho que haga. Comúnmente se denomina "zombie", por que ya no es un dispositivo normal como tal, si no que ejerce órdenes. En un teléfono las funciones interesantes para los malos son poder controlarlos remotamente:

• hacernos fotos con nuestra cámara y enviarlas al ciberdelincuente
• capturar nuestras contraseñas cuando accedemos al correo, facebook o twitter
• grabar nuestras llamadas
• saber donde estamos por el geoposicionamiento del GPS
• ...

Este tipo de malware, que podría ser un troyano en un PC, se denomina RAT (Remote Administration Tool).

Os pongo un ejemplo de instalación de aplicación que podría resultar dañina para nuestro dispositivo:

Accedemos al Play Store y buscamos una aplicación para hacer bromas simulando que nos radiografía el teléfono la mano:

Figura 1: aplicación de broma con rayos x

 Al darle a INSTALAR, nos pide que aceptemos los permisos que queremos que esta aplicación tenga sobre nuestro teléfono (es recomendable leerlos, y alguna sorpresa os llevaréis):

Figura 2: permisos que hemos de aceptar para esta aplicación

Pero, si es de broma, ¿para que quiere hacer compras, saber quien somos, saber dónde estamos, acceder a todas nuestra fotos almacenadas, ...?

Figura 3: descripción de los permisos (primera pantalla)

Y sigue, y sigue, ..., acceder a la cámara y poder usarla, acceder a la información de las conexiones wifi y los nombres de los dispositivos, acceder a la identificación del dispositivo y al registro de llamadas!!!

Figura 4: descripción de los permisos (segunda pantalla)

Si antes de instalarla leemos los comentarios, vemos que un buen porcentaje de los votos es negativo, ya que a la gente no le da el resultado esperado, más que nada, porque la aplicación está más ocupada en mandar sus datos al dueño de la botnet que de hacer bromas:

Figura 5: comentarios de la aplicación

Ya para terminar, la parte productiva: 

Un vídeo de Chema explicando el funcionamiento de los botnets (redes de zombies):

Vídeo 1: Chema Alonso: Hackeando a los malos con sus propias armas

Entrada en el blog de Chema sobre aplicaciones espías en android:

• Troyano para espiar un Android o para espiar a través de él (noviembre de 2013)

Figura 6: Troyano para espiar un Android o para espiar a través de él (Blog elladodelmal)

Resumiendo:

• leed los permisos que concedéis a las aplicaciones que instaláis
• no descarguéis por descargar
• leed los comentarios antes de instalar
• tal vez no sea buena idea que los niños pequeños usen nuestro teléfono de trabajo para su ocio. Hay táblets muy baratitas que aunque se llenen de publicidad, rats, troyanos y se convierta en un bot, no compromete nuestros datos personales (precaución con la cam y el micrófono) y podemos destinarlas al uso de los más pequeños.

Saludos!

Cómo saber si me roban la wifi

Últimamente nos han preguntado si es posible saber si la red wifi de nuestra casa pueda estar siendo "robada" por algún vecino.

Figura 1: ¿Cuántos equipos hay conectados a mi router?

Hay unas pistas que podemos seguir:

1. la navegación habitual en nuestro ordenador o táblet es mas lenta de lo normal
2. los leds de nuestro router parpadean aun cuando tenemos todos los dispositivos apagados
3. aparecen mensajes informando de que existe un nuevo dispositivo de red
4. nuestra tarjeta de red se conecta y se desconecta frecuentemente

Para poder saberlo hay varios métodos:

• acceder a la IP de nuestro router y en el apartado de configuración de LAN, nos podrá aparecer un listado de clientes DHCP. Son los equipos que han ido pidiendo al router una conexión. Por regla general debería existir una entrada para cada ordenador, videoconsola, teléfono, táblet, smart-tv, o dispositivo tipo imagenio que tengamos en casa. Cada vez hay más aparatos tipo IOT (Internet of things, o internet de las cosas, como cámaras de vigilancia, básculas elctrónicas, smart watch, ...)
  
  
  En este ejemplo vemos una red con más ordenadores de los "normales" conectados al router. Hemos marcado en azul los posibles ordenadores propios del usuario, en rojo los posibles "piratas de las ondas" y en verde los posibles "aparatos especiales" o servidores de red.

Figura 2: mapa de clientes DHCP de nuestra red

• otra opción es con alguna aplicación específica para ello:
• Angry IP Scanner: aplicación para windows (inglés)
• Wireless Network Watcher de Nirsoft para windows (inglés)

Figura 3: captura de pantalla de Wireless Network Watcher de Nirsoft

• Microsoft Network Monitor para windows (inglés)

Y ahora que sabemos si tenemos un intruso en nuestra wifi, ¿cómo lo evitamos?

• cambia la clave de acceso de tu red wifi
• no dejes la que viene por defecto, existen listas con claves predefinidas en internet
• desactiva WPS (se ha descubierto que es vulnerable)
• oculta tu red (hide SSID)
• usa seguridad WPA2 (WEP y WPA se ha descubierto que son vulnerables)
• cambia la contraseña del usuario admin de tu router

IMPORTANTE: si tu router no te permite configurar todas estas opciones, habla con tu proveedor de internet y diles que te actualicen el equipo

Si quieres rizar más el rizo:

• crea una lista blanca de direcciones MAC
• apaga la antena wifi si tu conexión es cableada
• apaga el router si no vas a estar en casa o si no necesitas conectarte a internet

Hay que tener en cuenta un detalle de seguridad: hay delincuentes que se dedican a controlar las redes wifi que saben que existen y pueden ver si está o no activa para saber si estás o no en casa. Un ejemplo: tu vecino te roba la wifi y ve que cada vez que te vas de casa apagas el router. Desde su propia casa puede ver si tu wifi está o no encendida, para deducir si estás o no en casa.

Además, no solo se trata de que te roben la wifi y no paguen la couta aprovechándose de la tuya, si no que al conectarse a tu red, realmente ¡están dentro de tu red!, con lo que pueden hacer un ataque MITM (man in the middle) y capturar los paquetes que envías como si te conectaras a una wifi abieta del estilo de las de los centros comerciales. Evita que tu wifi sea mancillada!!!

Para más información os pongo un enlace al blog de CHEMA, donde explica algún otro aspecto interesante:

• Blog de Chema Alonso: ¿Se debe ocultar y apagar la red WiFi de tu casa?

Figura 4: blog de Chema: ¿Se debe ocultar y apagar la Wifi de tu casa?

Y por supuesto, si estáis leyendo y os interesa este tema ¿vosotros no robaréis la wifi a vuestro vecino, no?

Saludos!

¿Darías tu tarjeta de crédito a un desconocido?

Hoy he estado hablando con varios amigos sobre las medidas de seguridad que debería adoptar todo el mundo a la hora de navegar en internet. Hemos hablado de un antivirus, un sistema operativo y aplicaciones actualizadas, sentido común, ... y ha salido en la conversación el tema de los pagos en páginas en internet. La verdad es que investigando un poco veo fallos de seguridad en este tipo de operaciones. Por regla general siempre el principal problema somos los usuarios. 

Figura 1: enséñame tu tarjeta que te mando una factura

¿De que sirve tener una supercontraseña si luego lo ponemos tan fácil para que nos roben?

El ejemplo más claro es que pensamos que las redes sociales solo sirven para el curioseo diario: que si nos vamos de vacaciones, que si mira en que sitio tan chulo he estado, que si mira que tarjeta de crédito me han dado en el banco. Si si, y enseñamos la foto de nuestra tarjeta:

Figura 2: perfil de twitter donde se suben fotos de tarjetas de crédito

• Perfil de twitter con fotos de tarjetas

Pero ¿esto es real? ¿nos puede pasar algo si hacemos este tipo de cosas? por desgracia los malos no dejarán pasar ni una. Si pueden sacar beneficio de algo ten por seguro que lo harán. 

Sin ir mas lejos, en nuestra propia página web de venta online, recibimos hace poco tiempo una compra con un pago con tarjeta. Lo primero que vimos sospechoso fue que la compra se realizaba desde Cartagena (un poco lejos para comprar un ordenador). Nos pusimos en contacto con la Guardia Civil y nos solicitaron que pidiésemos una copia digital del DNI del dueño de la tarjeta, para comprobar que no era robada. El comprador nos remitió un dni escaneado, pero investigando un poco vimos que la letra del dni no se correspondía con la que debería ser para ese número de dni. Acto seguido llevamos la documentación a la Guardia Civil y la compra fue anulada.

Para ampliar un poco más esta información os paso dos enlaces al blog de Chema Alonso en las que comenta todo esto un poco más en profundidad.

Figura 3: blog elladodelmal: "Publica tu tarjeta de crédito en redes sociales y se popular

•  http://www.elladodelmal.com/2012/07/publica-tu-tarjeta-de-credito-en-redes.html

Figura 4: blog elladodelmal: "¿Te gusta mi pasaporte?"

• http://www.elladodelmal.com/2012/07/este-es-mi-passaporte-te-gusta.html

Saludos!

Análisis de un Phishing II

Hoy he recibido un mail. El remitente era un cliente de mi empresa, pero el asunto estaba en inglés. Me ha parecido sospechoso que llegase a mi bandeja de entrada, y que normalmente lo hacen a la carpeta de SPAM. 

Figura 1: captura de pantalla de la bandeja de entrada

 Una vez que lo he abierto (solo por curiosear, ya que lo suyo habría sido eliminarlo sin abrirlo si quiera), este era el contenido del mensaje:

Figura 2: contenido del mensaje

Para un usuario normal, puede parecer que mi cliente me ha mandado un mensaje, que parece ser un vídeo de Whatsapp, que lo ha enviado en esa fecha y hora (hoy 7 de mayo de 2015 a la 1:11:53 de la mañana), y no se porque, pero me llega al correo, cuando Whatsapp no tiene mi correo. Que turbio!!!

Para el ojo inexperto podría parecer normal, pero sin entrar en tecnicismos podemos ver un comportamiento "raro". Si paso el ratón sobre el botón verde de "PLAY", veo que hace cosas distintas si estoy a la izquierda de la palabra "PLAY", sobre ella o a su derecha:

Figura 3: a la izquierda de "PLAY" sale la flechita típica del ratón

Figura 4: sobre la palabra "PLAY" sale la mano de acceso a un enlace

Figura 5: a la derecha de la palabra "PLAY" también sale la mano indicando que es un enlace

Si fuese algo legítimo (o un poquitín mejor hecho), el comportamiento sería el mismo en las 3 posiciones o solo saldría la mano sobre el "PLAY". Además de que está escrito en inglés, que Whatsapp no manda correos, que el asunto es "Body, meet food coma", ... y revisando la información del enlace que aparece en la parte inferior de la pantalla cuando el cursor es una manita, vemos que el enlace es a un dominio llamado http://aidanharticons.com/.....

Figura 6: dirección del enlace fraudulento

Y la parte técnica: si en GMAIL abrimos la opción de "Mostrar original", podemos ver el contenido del mismo, un código HTML con dos enlaces a este mismo dominio:

Figura 7: código fuente del contenido del mail

Para terminar, un par de vídeos que ya os he recomendado en otras ocasiones del gran Chema sobre seguridad en los correos electrónicos:

Vídeo 1: Hotmail y la seguridad en el correo electrónico

Vídeo 2: Chema Alonso en X Fórum AUSAPE: Decálogo de Seguridad Maligno

Saludos!

¿Es seguro conectarme a una red wifi abierta?

Hoy he estado en un centro comercial de Zaragoza, Puerto Venecia. Como tenía un poquito de tiempo de espera, me he ido a darme una vuelta por el Apple Store. Nunca había entrado en uno. La impresión que me he llevado es que había muchísima gente, más de lo que me esperaba, cada uno de ellos con un equipo entre sus manos.

Figura 1: Apple Store, tiene continuamente usuarios usando su wifi

En cada mesa había 6 portátiles y 6 tablets. Yo iba calculando: 6 portátiles de 600€ en cada mesa, 6 tablets de 400€ en cada mesa, 8 mesas, ..., uff, cuantos euros aquí reunidos. Me he preguntado si todos los posibles clientes estaban interesados en comprar un equipo, pero me he ido fijando y me he llevado una sorpresa. 

Una chica estaba probando a abrir un documento ofimático de su propio pen!!! Al ver que podía, se lo ha dicho a su novio y se han alegrado efusivamente los dos, ¿?

Figura 2: chica conectando su pen a un portátil de la exposición

Un chico joven estaba jugando a un juego de aviones.

Figura 3: un chico jugando en un portátil de la exposición

Una chica joven estaba viendo un vídeo en youtube.

Figura 4: una chica viendo vídeos de Youtube en un ordenador de la exposición

En ese momento he visto todas las posibles amenazas de malware y ciberdelincuentes que podrían estar en su salsa en ese momento si se conectaran a esa red. Pero ¿Apple Store tiene wifi abierta? Me he salido fuera y en la propia puerta hay una zona de relax. Nada más llegar veo a muchísimos usuarios todos con el móvil en la mano. Es mucha casualidad que en la puerta del Apple Store se congregue tanta gente con el móvil si no es por algo común. He deducido que era para aprovechar la wifi.

Figura 5: usuarios posiblemente conectados a una wifi abierta

Figura 6: usuarios posiblemente conectados a una wifi abierta

Figura 7: usuarios posiblemente conectados a una wifi abierta

Con mi propio móvil es hecho algunas pruebas de wifi. En esa zona hay varias redes wifi disponibles, y dos de ellas abiertas: Apple Store y Puerto Venecia:

Figura 8: lista de redes wifi disponibles, 2 de ellas abiertas

Arriesgando la seguridad de mi propio smartphone, me he conectado a esas dos redes, y en la información de la conexión me sale la propia dirección IP que el servidor DHCP me ha dado:

Figura 9: mi dirección IP dentro de la red de PUERTO VENECIA

Figura 10: mi dirección IP dentro de la red de APPLE STORE

Hay que destacar que dentro del apartado "seguridad", mi teléfono me dice "ninguna", SEGURIDAD NINGUNA es la frase completa. Más claro , el agua.

Cualquier persona con un portátil y un sniffer de paquetes podría estar viendo en su pantalla no solo las páginas que son pedidas al servidor, sino los datos post de los formularios, o sea, los nombres de usuario y contraseñas que los usuarios mandan al conectarse a Facebook, Twitter, Gmail, Hotmail, ... así como el asunto, en contenido del mensaje y las imágenes o vídeos de whatsapp, por poner algunos ejemplos. Que turbio!!!

Los niveles de seguridad son esos: NINGUNO. Lo chungo es que mi teléfono, me notifica como una hazaña u oportunidad que no puedo dejar pasar el disponer de una red wifi abierta, sin ningún otro tipo de advertencia ni warning ni ventanita de color rojo:

Figura 11: aviso en mi smartphone de que existen redes abiertas

Figura 12: aviso en mi smartphone de que existen redes abiertas,
CORRE, CONÉCTATE, NO LO DEJES PASAR !!!

ACLARACIÓN TÉCNICA IMPORTANTE:
La clave que escribimos para conectarnos a una wifi, no solo es para evitar que nuestro vecino se conecte a nuestra adsl y se aproveche de la conexión sin pagar, su misión principal es la proporcionar a la conexión una clave de cifrado para que todo lo que se emite y se recibe entre el router y nuestro portátil, tablet o smartphone, viaje cifrado, encriptado, oculto, ... con el fin de que no pueda ser capturado por usuarios ajenos, o que si son capturados, no puedan ser "leídos".

La encriptación WEP ya no es segura a día de hoy. La WPA tampoco. Las que no tienen cifrado como son estas dos que he analizado no es que su seguridad sea ineficaz, sino es que no tiene seguridad. Hay que tener una seguridad de cifrado WPA2 con AES, para estar "más seguro", pero tampoco es infalible.

Una vez fuera de la zona comercial, he vuelto a revisar las redes disponibles y me han parecido graciosos un par de nombres de redes (SSID) que posiblemente el "administrador de turno" a puesto para evitar que la gente se conecte a ellas:

Figura 13: SSIDs por lo menos "chocantes", "caca" y "posible_virus"

Y ahora vamos a "hackear" la wifi!!! :

Figura 14: antena especial para wifis, ;-)

;-)

Para terminar, os pongo un enlace a un vídeo de Chema en el que explica un poco todo esto, en una entrevista con Jordi Évole en el aerupoerto de Madrid, Barajas:

Vídeo 1: Nos Espían, programa de Salvados TV,
entrevista que Jordi Evole tuvo con Chema Alonso
sobre la privacidad en Internet y las Redes
Sociales, emitido el pasado 18 de noviembre de 2013.

Conclusión, USA TU PROPIO 3G EN LUGARES PÚBLICOS !!!

Saludos!