viernes, 19 de octubre de 2012

Ingeniería social, el arte del hacking personal

La Wikipedia define la ingeniería social como:
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
 Dicha rama de la seguridad informatica está mucho menos documentada en blogs y libros que otras más técnicas como son la seguridad web o la de redes, por lo que me sorprendió gratamente encontrarme en la estantería de la librería este libro.



  Gran obra escrita por Christopher Hadnagy principal desarrollador de http://www.social-engineer.org. En él se trata el tema de la ingeniería social con muchos toques de psicología (como debe ser), pero siempre intentando relacionarlos con la seguridad informática.

  Trata temas como pueden ser la recolección de información, el ganarse la confianza de otros, como interpretar las expresiones involuntarias de los demás (microexpresiones) y un tema que me fascina, la programación neurolingüística (PNL).
  Además da repaso por herramientas informáticas relacionadas con la ingeniería social como como son S.E.T. o Maltego, sin olvidar otras técnicas ajenas a los ordenadores como es el lock picking.


  Aquí tenéis un enlace al libro "Ingeniería social, el arte del hacking personal" y su correspondiente índice:
1. Una mirada al mundo de la ingeniería social
2. La recopilación de información
3. Las maniobras de obtención de información
4. El pretexto: cómo convertirse en otra persona.
5. Trucos mentales: los principios psicológicos en ingeniería social
6. La influencia: el poder de la persuasión
7. Las herramientas  del ingeniero social
8. Estudio de casos prácticos: diseccionando al ingeniero social
9. Prevención y mitigación

Concluyo este post algo diferente a los acostumbrados, pero que me parecía interesante después de la gran impresión y curiosidad que despertó el libro por los temas que abarca.

Nos leemos en breve ;)

miércoles, 3 de octubre de 2012

Aventuras y desventuras de Android con QR y USSD



  Leyendo la entrada publicada por el señor The X-C3LL y escrita por Locutus referente a las vulnerabilidades de los dispositivos con Android y los códigos USSD (más información aquí) me ha venido a la cabeza el daño que podría hacer alguien con oscuras intenciones y algo de tiempo libre.

  Veamos el siguiente escenario:
   Una universidad cualquiera, todo el mundo con sus flamantes smartphones con Android, una significativa cantidad de ellos son terminales Samsung (después veremos porque el hecho de que sean de esta compañía es relevante) y se acerca el jueves (gran día para salir de fiesta ;) ) con lo que los tablones están llenos de promociones y descuentos para pubs, discotecas y oscuros antros.
   Entonces entra en juego el atacante, una joven inteligente (lectora de este blog) que se aburre y decide causar una masacre tecnológica, con lo que crea, o simplemente copia un cartel con una apetecible y suculenta oferta lúdica. A este anuncio le añade como forma de contacto un código QR apuntando a una página creada (o copiada y modificada) con oscuro fin.
   Los estresados estudiantes ven tan maravillosa oferta, y cegados por la curiosidad (además de sus ansias de borrachera) desenfundan sus potentes androides, emocionados lanzan su aplicación favorita para leer códigos QR (por ejemplo Barcode Scanner) y ¡¡MAGIA!!¡¡BRUJERÍA!! de esa imagen formada con negros cuadraditos surge una dirección hacia una web http://copas_gratis_para_todos_y_todas.org (una dirección muy atractiva para las inocentes víctimas, puesto que nuestra intrépida atacante es una gran ingeniera social). Entonces al abrir la dirección automáticamente se ejecutará el código USSD con distintos (y algunos fatales) fines en función del código escogido.

  Después de esta historieta (ha sido un día largo xD ) veamos como nuestra avezada joven ha logrado realizar este ataque.

  Obviando los pasos del diseño y cartel, el ataque es muy simple. El primer paso es conocer el código USSD a utilizar, para la demostración, y puesto que no queremos romper nada, utilizaremos la combinación que nos dará el IMEI del terminal:
*#06#
Una vez escogido, el ataque es simple, hacer que la web redireccione cualquier visita a una llamada a ese USSD, esto es muy facil, puesto que basta con introducir en el head del html:
<meta http-equiv="Refresh" content="0;url=tel:*%2306%23"> 
Comentar que el "prefijo" los codigos USSD es "tel", al igual que para una dirección web seria "http://".


El ejemplo de una página web simple (en blanco) es el siguiente:
<html> <head> <title>Fiesta en X!!</title>  <meta http-equiv="Refresh" content="0;url=tel:*%2306%23"> </head></body> </html>

Una vez creada la página que realizará las maldades, resta crear el código QR. Para realizar esta tarea hay numerosos servicios web gratuitos que con solo introducir la dirección deseada nos generará su respectivo código.

  Una página con esta capacidad es:
http://www.codigos-qr.com/generador-de-codigos-qr/


  Por último bastaría con crear un cartel bonito y sugerente y añadirle el código QR, lo que eso ya se lo dejo a l@s manitas ;)


  Antes de finalizar, acabamos de ver que es posible crear los códigos QR con aplicaciones web, pero hay una gran herramienta que también es capaz de realizar dicha tarea, ésta es  SET



 El camino a seguir en sus nutridos menús es:
1)  Social-Engineering Attacks

Después:
9) QRCode Generator Attack Vector

En el siguiente paso pedirá la dirección a la que redireccionará el código, en nuestro caso:
http://copas_gratis_para_todos_y_todas.org

Y ya tendremos en el directorio /pentest/exploits/set/reports el código QR generado:




  Con todo esto ya conocemos un nuevo y dañino vector de ataque del que una gran cantidad de dispositivos pueden ser víctimas, ya que al acceder a la dirección se desconoce su contenido. Además si el dispositivo es un Samsung, la cosa es mas "peliaguda", puesto que como se comenta en el post referenciado al principio existen códigos USSD realmente peligrosos para estos dispositivos.

  Como aclaración antes de despedirme, recordar que este post no es para que empecéis a colgar códigos QR por todas partes mientras soltáis carcajadas malvadas, es para prevenir de posibles ataques realmente dañinos de los que podéis veros afectados, ya que ahora conocéis el vector de ataque ;).

Nos leemos en breve,