Yo soy ROOT!!!

¿Alguien se ha preguntado porque los dispositivos Android no vienen "rooteados" de fábrica? ¿Quieres rootear el tuyo? ¿Sabes lo que realmente implica usar tu dispositivo siempre con credenciales de administrador?

Quiero explicar desde el lado de la seguridad, lo que implica tener un dispositivo android con acceso root. El fabricante sabe perfectamente que no todos los usuarios son "expertos", al igual que conoce que existen apps maliciosas que pueden "adueñarse" de nuestros aparatos, hacerse con nuestros datos (usuarios, contraseñas...) e incluso "dañarlos" por software para que android no funcione correctamente y/o no arranque. (Ej. típico error del logotipo en bucle).

Error "bootloop"

La iniciativa de entregar a sus clientes un móvil sin acceso "administrador" es correcta (bajo mi punto de vista, claro). Así se aseguran de que el terminal corre un android seguro para evitar devoluciones en el servicio "post venta" en garantía.

Si conocemos el mundo de la informática, hay muchos usuarios que se compran un PC con Windows y al cabo de unos meses vienen por la tienda/taller a "reclamar" de que su equipo no funciona como el primer día (algunos de malas maneras), analizando su equipo comprobamos que no arranca por diferentes causas, una de las mas comunes que me encuentro:

- Tiene mas de un antivirus instalado.
- Accede a webs de warez y/o porno y está infectado con malware.

Famoso "virus de la policía"

 Después de valorar los datos y recomendarle un "formateo", es hora de pasarle el presupuesto y su respuesta es: "¿Pero no está en garantía?"

Cliente mosqueado

Hay una total desinformación con las garantías, tendemos a confundir la garantía de "hardware" con la de "software", pero esto es algo complicado de asumir entender al usuario de "a pie".

Retomando el tema android, los fabricantes ya están "hartos" de tener dispositivos para reparar por software o brick en eMMC por "manipulaciones" del usuario, es por ello que se han reservado el derecho a no dar garantía a esos aparatos que estén rooteados. Así es amig@, si has rooteado tu teléfono que sepas que ha perdido la garantía, pero siempre puedes quitar el root y dejar la rom de fábrica oficial.

Otra ventaja de que los móviles no vengan rooteados es por la seguridad de las apps. Muchas de ellas (como aplicaciones de bancos) utilizan conexiones "cifradas" para ofrecer una seguridad a sus clientes, pero hay otras apps que no, utilizan conexiones a "texto plano" por lo que cualquier persona nos podría estar usando un "sniffer" y estar capturando todo nuestro tráfico, por lo que podría tener nuestro usuario y contraseña.

¡Estamos tranquilos! Sólo son 35.000 aplicaciones

¿Significa entonces que cualquier app tiene acceso administrador? Pues sí, estarás usando un aparato identificado "siempre" como root, con permisos suficientes para manipular el aparato y sus aplicaciones.

Una de las ventajas (en cuanto a seguridad) que tiene GNU/Linux es que para realizar cualquier función como instalar, desinstalar, borrar archivos o carpetas (creadas como root) etc.. es que pide la contraseña "root". Si esto lo lleváramos a la práctica en un Windows, estoy seguro que más de la mitad de problemas desaparecerían... ¿Cuantas personas conoces que utilicen en su PC un Windows sin acceso administrador? :P

Sería interesante de que android tuviera esta función, una opción donde podamos hacer uso del privilegio root con una contraseña, así podríamos quitar esas apps por defecto que tantos nos disgustan y ahorrar espacio interno en nuestro dispositivo sin tener que prescindir de la seguridad.

Sólo quiero hablar sobre la seguridad, soy partidario de que cada usuario es libre de hacer con su aparato lo que quiera, pero siempre llevando por "bandera" la seguridad del mismo.

Para terminar, quiero especificar que nos da y que nos quita el root:

Ventajas siendo root:

- Instalar hacks y otras apps piratas.
- Poder desinstalar aplicaciones y juegos que vienen por defecto en el aparato.
- Modificar la función del hardware mediante software (reducir la velocidad de CPU para menor consumo de batería, acelerar la velocidad de internet o 3G, etc..)
- Entrar en carpetas y ficheros ocultos del sistema.
- Instalar recovery's y/o roms android "cocinadas".

Desventajas siendo root:

- Nuestro sistema será vulnerable a las apps maliciosas, estas tendrán acceso a nuestro sistema como administrador.
- Perderemos la garantía de nuestro terminal. (No son todos los fabricantes, recordar que si quitamos el root la recuperamos).
- Si no eres un usuario experto en "overclocking" puedes fastidiar tu aparato.
- Recuerda que aún muchas aplicaciones vienen sin "cifrado" en las conexiones, podríamos ser víctimas de suplantación de identidad o incluso formar parte de una botnet.

¿Root o no root? Tú decides...

¿Root o no Root?

Follow the white rabbit - CTF: Ones and Zeroes

Nos encontramos con un nuevo caso de "esteganografía" en el que debemos de "sacar" de un archivo de música nuestro "flag".

Información del reto:

Attachment: https://mega.nz/#!ApEzQC5C!43uNu_7_IVijvU-9ash0dkpTq9SS5gCsd1UTVTkkTKA
Description: The Dark Army told me that Stage 2 is ready. When you see it, you’ll be pleased. It worked,
Elliot…do not forget to hide all the information in those stupid CDs!!!

Traducción: El Ejército Oscuro me dijo que la Fase 2 está lista. Cuando la veas, estarás contento. Funcionó, Elliot ... no olvides ocultar toda la información en esos estúpidos CDs !!! 


Solución del reto:

Nos descargamos el archivo "Fuck Society.zip" del anterior enlace de MEGA y lo descomprimimos. Obtendremos el archivo "Fuck Society.flac".

Se trata de un archivo de "audio", si somos "fans" de la serie de Mr. Robot sabremos perfectamente que Elliot tiene gran afición de guardar la información de sus "víctimas" dentro de CD's de música. Si has visto la serie, sabrás perfectamente que usa en una máquina virtual el famoso "DeepSound". (puedes descargarlo desde aquí)

Como no existe versión para Linux la instalaré en una vm con Windows 7.

Ejecutamos DeepSound y pulsamos en la opción "Open carrier files", seleccionamos el archivo "Fuck Society.flac" y esperamos a que cargue.

¡No podía ser tan sencillo! ¡Tiene contraseña! Es hora de "calentarse el coco" y encontrar la contraseña.

Volvemos a Linux, abrimos terminal y usamos la herramienta "Exiftool" para ver los metadatos y la información del archivo por si nos pudiera dar una pista de la contraseña.

Hmm, extraño que aparezca "ElliotAlderson" todo junto como artista... ¿Tal vez sea la contraseña? ¿Probamos?

¡Efectivamente! ¡Es la contraseña! Ahora vemos un archivo llamado "fsociety.txt", posiblemente se encuentre allí nuestro "flag", sólo nos queda pulsar en el botón "Extract secret files".

¡Si señor! Ahí tenemos la flag. Como diría John Hannibal Smith (Equipo A) "Me encanta que los planes salgan bien".

Cómo buscar a una persona desaparecida usando "Google images"

Hoy os traigo una alternativa a "Facebook" para buscar a una persona. Aunque también se podría utilizar (usando la imaginación) para encontrar información sobre un objeto.


Seguramente ya lo conozca de haberlo utilizado alguna vez para buscar alguna fotografía, pero imagino que nunca lo habrás utilizado para buscar a una persona. Pues sí! puede sonar algo "chocante" pero la verdad es que el resultado es bastante bueno.

Vamos hacer una prueba con la fotografía de una chica "supuestamente" desaparecida.

Foto de la "supuesta" desaparecida.

Ahora entramos desde nuestro navegador web a la siguiente URL: https://images.google.es

Una vez dentro, pulsamos en el icono de la "cámara de fotos" y seleccionamos la imagen desde nuestro disco duro o bien, le ponemos la URL de la foto alojada ya en internet.

Yo lo haré usando una imagen de mi disco duro.

Seleccionando el icono de la cámara.

Usando una fotografía de mi disco duro.

Lógicamente, voy a usar la fotografía de la chica a "cara descubierta" para que Google Images me dé mejores resultados en su búsqueda.

Impresionante! Hemos obtenido unos 20.600.000 resultados! En esta ocasión el tema está claro, se trata de un "bulo" (hoax) que corre por internet y que ya la prensa ya desmentido. La chica no existe (hombre! la de la foto seguro que sí!) pero no por ese nombre.

También podemos obtener resultados "similares", como veis he subido una foto que se le veía la cara y Google Images automáticamente me ha sacado otras fotografías con la cara "borrosa", ya que ha utiliza un algoritmo en su código fuente para obtener resultados por la "ropa" y otros objetos que aparecen en la imagen.

Como bien hemos comentado anteriormente, no hay duda de que no se encuentra desaparecida y de que se trata de un bulo que corre por la red.

Son muchas las hipótesis de "porqué" crean estas cadenas y quienes hay detrás de estos bulos. La mas acertada sería cibercriminales (no confundir con hackers por favor!)  que crean estas "cadenas" para hacerse con direcciones de correos electrónico para enviar virus o malware, usar estos correos para suplantar la identidad de alguna persona y/o engañar a otras personas para que acepten archivos o formularios para obtener contraseñas.

Por esta razón es muy importante de contrastar la información con los medios públicos y/o la policía antes de compartirla por Whatsapp o en las redes sociales. El daño que puedes provocar a la persona compartiendo la cadena es brutal, sólo tienes que ver el ejemplo de Jennifer, hay 20.600.000 páginas web en internet que tienen su foto publicada! Y créeme, una vez que tu foto esté en la red, es "casi" imposible de eliminar de todas partes. Y por favor, no digas el típico "Por si acaso...". Imagínate que fueras tu el que aparece en la foto.

Ahora vamos a utilizar Google Images para encontrar un móvil "supuestamente" robado.

Vamos a crear un escenario (de estos que últimamente me gustan a mi):

Nos encontramos de que hemos perdido nuestro móvil, después de ponernos de los nervios y haber roto lo que teníamos a mano.... Vamos a pensar.

¿Que haría una persona con él? ¿Posiblemente lo venda por internet y quiera pasar el marrón a otro?

Pues es lo mas probable, ya que utilizar un móvil encontrado es "buscarse" un gran marrón. (Posiblemente esté denunciado, bloqueado... Pero ¿Y si fuera de una víctima de asesinato?)

¡Vamos al lío!

Aún tenemos la caja del móvil, le hacemos una foto a la etiqueta del código IMEI (recordamos que el móvil por atrás llevaba una pegatina con el número IMEI)

Foto obtenida de la caja (siento que no sea vea bien, era muy pequeña :P)

Usamos nuevamente Google Images y subimos la foto del IMEI, pero esta vez nos ayudaremos usando un "Google dork" (básico jajaja) "Vendo lg6"

¡Hemos obtenido un resultado! Tenemos un link a MILANUNCIOS.COM, abrimos el enlace y vemos las fotos del móvil.

Anuncio de la venta del móvil (recuerdo que el escenario es FALSO!) 

 

 

Pegatina del móvil con el mismo número de IMEI

Gracias a este "detalle", hemos podido localizar el móvil, en el anuncio tenemos información del vendedor así poder recuperar nuestro móvil.

NOTA: El escenario es FALSO.


Seguro que Google Images se puede utilizar para otras cosas, sólo debemos de tener imaginación. ¿Y tú? ¿Para que lo utilizarías?

Follow the white rabbit - CTF: Elliot "knows" everything

Es mi primer CTF conseguido de la comunidad "Follow the White Rabbit", aunque el reto era sencillo (cuando uno lo sabe, claro), me ha llevado algún que otro dolor de cabeza.

Felicitar a belane por el gran trabajo que hace con los retos, también darle las gracias a Kalrong por sus enseñanzas y "pistas".

Dicho esto paso a mostrar como he conseguido el reto.


Solución del reto:

Entramos en la siguiente dirección: http://challenge.followthewhiterabbit.es:2345/

Allí nos encontramos con 6 fotos de la famosa serie "Mr Robot" (una de mis preferidas) en formato .png

Nos descargamos todas las fotos (ignorando la oculta en la etiqueta que es una trampa del malvado belane) y comprobamos si hay algún error en alguna de las 6 fotos descargadas.

Foto para despistar al personal :P

Una vez realizada un chequeo con la herramienta "pngcheck" nos topamos con una que nos muestra que tiene errores, directamente le lanzamos con "binwalk" para extraer los datos que tiene ocultos.

 

Como se puede apreciar en la foto, vemos que la foto contiene un archivo.zip con contraseña llamado "21A360" y con dentro de este, hay un archivo de texto con el nombre "1.v46j._Ef".

Probamos a descomprimirlo y confirmamos que nos pide contraseña.

¡Aquí viene donde la matan! Podríamos usar algún software por fuerza bruta, pero nos llevaría muuuuuchhhooo tiempo, belane y kalrong ya dijeron que era sencillo, por lo que la solución tendría que estar en frente de mis narices... Y ciertamente era así, bueno... precisamente de las mías no, pero si de las narices de "Elliot" (gracias kalrong).

Si ampliamos esta foto, veremos que Elliot está mirando un código binario, rápidamente me puse a escribirlo con "Pluma".

Copiamos el binario y lo transformamos en Texto ASCII/ANSI y vemos que obtenemos un texto usando la herramienta online de www.asciitohex.com

Sólo nos queda comprobar que "P4ssw0Rd_F1le.HL" sea la contraseña para el archivo .zip que sacamos anteriormente.

¡Efectivamente! Ya tenemos el archivo descomprimido y visualizado en pluma, y por supuesto dentro tenemos el flag.

¿Me dejas tu Pen?

¿Me dejas tu pen? ¿Os han hecho alguna vez esta pregunta? Seguro que si...

Disponer de un pendrive para transportar nuestra información de un sitio a otro se ha convertido en algo habitual. Tanto, que ya no nos damos cuenta de cuanta información entra y sale de él sin pensar en que podría ser privada, tanto que podría traernos serios problemas en nuestra vida cotidiana.

Mucho empeora la situación cuando contamos con más de un lápiz usb por casa y por la razón que sea hemos metido algunas fotos "privadas" en él y no recuerdas en cual de todos. Aquí es donde podemos tener un serio problema :D.

¡¡¡Que suerte!!! He dado con el lápiz correcto, ahora toca eliminarlas inmediatamente.

Como hemos respirado ¿Eh? Pero... ¿Te has preguntado si sería posible recuperarlas aunque hayas formateado 3000000..... veces el pendrive?

¿Hacemos una práctica?

Vamos a poner un escenario:

"Tenemos como vecina a la mismísima Adele"

- Una tarde mientras ella bajaba por el ascensor con su perro nos intercambiamos unos saludos de cortesía (el típico "Hola" y "adiós"), una vez dentro del ascensor, mientras subo leyendo el grupo de telegram de "Follow the white rabbit" me fijo que en el suelo hay un "objeto" sumamente reconocido por mi. ¡Es un "pendrive"!

- Cómo no se de quien es y me "mata la curiosidad" me dispongo averiguarlo, conectando sin pensar en ningún momento que puede contener un malware o un virus, o que tuviera información confidencial de su dueñ@.

- Al conectarlo a mi portátil veo que en el pendrive no hay nada, por lo que me hace sospechar que su dueñ@ lo vacío para prestarlo ha algún conocido.

- ¡No estoy contento! ¡Necesito saber de quien es! 

- Es cuando pongo en proceso mis básicas e inexpertas técnicas de "hacking forensic" para sacar la información que ha podido tener este lápiz usb.

- Únicamente quiero saber quien es su dueñ@, por lo que sólo sacaré las fotos que ha tenido almacenadas en él.

Proceso forense

El pendrive está en formato FAT32 y es de 2GB. 

Voy a utilizar Foremost, es un gran programa para recuperar archivos borrados o formateados. En este caso será bastante rápido, ya que sólo tiene que buscar en un pendrive de 2GB (la cosa cambiaría si se tratara de un disco duro de 3TB :P)

¡La búsqueda ha terminado! Nos ha encontrado 12 posibles fotos de su dueñ@. Ahora sólo queda acceder a ellas y ver quien es el pendrive.

¡Pero que ven mis ojos! ¡El pendrive es de "Adele" y acabo de encontrar varias fotos personales de ella!

¡Y tanto que personales! Estas son fotos privadas de ella y podía utilizarlas para extorsionarla o vendérselas algún "paparazzi".

Pero no lo haré por tres motivos:

1. Este escenario es mas falso que un billete de 30€. (aunque las herramientas usadas son reales).

2. Porque no soy un ciberdelicuente y el post trata de ayudar a combatirlo y hacernos ver que somos vulnerables por nuestras malas costumbres.

3. Por que la chica usa Debian. :P

¡Y sólo hemos sacado sus fotos! ¿Te imaginas que fueran documentos como: DNI, pasaportes, nóminas, contratos, bases de datos de tu empresa, historiales clínicos, diseño de bombas nucleares....?

¿Y tú? ¿Me dejas tu pen?