Hackeando a los malos con sus propias armas

pues he venido a hablar de un trabajo que estuvimos haciendo que se llama unnim bad guys and mafia con bondes en javascript que suena superchulo este trabajo porque los los tipos que trabajamos con informática y especialmente los que trabajamos en seguridad tenemos un sueño morboso algo mórbido hay dentro de nosotros que nos corroe y es trabajar en el mundo del cibercrimen cuántos de vosotros habéis trasteado alguna vez con un troyano cuanto vosotros habéis tenido ese momento con tu colega fumando un cigarrillo en el banco de una calle dices y si montamos una botnet tío cuando os habéis tenido un momento alguna vez es esa conversación con un amigo van a confesar que puedes ir al estado por favor luego pasamos la gente ahí bueno es algo muy típico no esto de tener una botnet un montón de ordenadores por internet controlados y manejarlos en el másters de la botnet robarle las contraseñas a grabarles con la con la webcam robarle los vídeos enviados por por whatsapp con contenido erótico y tal es algo que que a todo el mundo le llama alguna vez en la vida y bueno pues por supuesto a nosotros en informática 64 que nos dedicamos a la seguridad informática y a buscar nuevas maneras de romper la seguridad de los sistemas pues también nos atraía el problema de hacer esto es que nosotros no teníamos mucho dinero nosotros no si conocéis la foca es de la empresa de informática 64 la usamos nosotros ya habíamos hecho algo que nos había servido para extendernos mundialmente como era la foca pero no la habíamos metido ningún malware a pesar de que todo el mundo pensó en algún momento que lo hicimos no aquí nos a la foca entonces las focas que bueno por allí dispone el único humano es gratuita la podéis bajar si queréis es paraje aplicaciones web y empresas bueno queríamos hacer una para eso es una herramienta de hacking se usa para eso hakim ético por supuesto no queríamos crear una bondad en informática 64 pero por supuesto como todos vosotros somos vagos eso regla número uno y empezar a pensar en hacer una botnet e implica algo así como necesito crear un programa que sea cliente servidor porque necesito manejarlo con con un panel de control luego necesito hacer un sistema polimórfico para evadir las las firmas de los antivirus y antimalware necesito un panel de control para gestionarlo todo además necesito el poder robarlo luego nito pilots para encender la cámara era un montón de trabajo y lo primero prueba de oro es quedamos vagos y tendríamos que conseguir cómo distribuirlo e instalarlo en engañar a la gente para instalarlo además tampoco teníamos dinero vale nosotros si trabajáis en informática no no sé si algún día llegará y saber lo que es el billete de 500 euros ya que no teníamos dinero no teníamos cero deis los 0 days son fallos de seguridad no parcheados en la última versión del software 10 de ellos lo más peligroso que hay en seguridad informática es cuando se encuentra un fallo que afecta a la última versión del software que quieres atacar si estamos hablando de windows con windows con todos los parches de seguridad y hay 10 de ellos es un fallo que afecta a ese sistema como por ejemplo han descubierto el cero day para ellos seis que han publicado en el móvil mobile bound to aun esta semana pasada en amsterdam para hackear todos los teléfonos iphone 5 ellos 6 cuestan mucho dinero mucho trabajo y nosotros no teníamos ningún cero day para utilizarlo tampoco somos el fbi en la enee sea que ya tiene todos la botnet creada mal de todos cuantos tenéis el iphone con jailbreak saludada el fbi cuando bajáis el próximo troyano de instalar vale no tenemos no éramos el fbi ni la n sea para poder controlar todos los teléfonos y por supuesto tampoco éramos google apple y microsoft que ya tienen su propia botnet con todo vuestro software y sistemas operativos y tal distribuido así que teníamos que hacer algo a nuestro propio estilo como hacemos una botnet si no tenemos el control del software no tenemos la ley no tenemos pero de ahí no tenemos dinero y encima somos vagos pues bueno pues pensando en eso lo que no se nos ocurrió es que se infectarán ellos dejarlos decirles a ellos que se infecten y dejarlos que se infecte no no sé si ha visto alguna vez el virus español es el que es un tío que dice hola por favor no te importaría hacer una forma hace dos puntos barras para para ir acabando bueno pues algo por eso era lo que nosotros queríamos hacer como convencemos a un montón de gente pase a ser parte de nuestra botnet fijaos lo que estamos intentando y sin hacerlo sin dinero y rápido bueno pues evidentemente lo más fácil es pensar en esquemas de hombre en medio los esquemas de hombre en medios son muy populares en redes en redes de área local por ejemplo en una wifi no sé cuánto estáis conectados a la wifi aquí mala idea o en una red cableada la idea es tan sencilla como engañar las redes de comunicaciones nacieron sin seguridad alguna entonces tú puedes enviar paquetes por la red de tal manera que a un cliente le dices que la dirección física de la puerta de enlace no es la del router si no es la de tu equipo y después al router se le dice que la dirección física del cliente no es la del cliente si no es la tuya de tal manera que cuando el cliente y el router se quieren comunicar le envían los mensajes al switch pero las direcciones físicas la dirección back es la del atacante entonces todo el tráfico viene al atacante vale y hace de hombre en medio conocéis vale todo esquema de hombre en medio es 100% inseguro implica que el que está en medio tiene acceso a absolutamente todo lo que está pasando podríamos hablar de cifrados y de ruptura de ssl certificados falsos este trae un montón de posibilidades pero quedamos con la idea de que si estás en medio tienes todo esto se puede hacer en ipv4 desde toda la vida y en ipv6 también se puede hacer y lo peor es que la gente está trabajando en ipv6 y no sabe que está trabajando en ipv6 cuantos trabajáis en ipv6 bueno voy a hacer la pregunta al revés guante usáis un windows vista windows 7 un linux o un mac os x si todos trabajamos con ipv6 no seréis de los subnormales que todavía ponen no te hago pin y ponéis la ip ipv4 si no la usa en la red local da se usa la itv 4 6 ipv6 bueno esto es algo que casi nadie lo sabe pero que por defecto se trabajan en ipv6 y los dos equipos tienen itv 6 y no hay un router en medio que no conozca que no trabaje con ipv6 como es el caso de internet que normalmente el router no trabaja ni v6 pues en magnitud 6 y hay herramientas como nuestra querida débil foca que es esta que hace man in the middle en ipv6 utilizando y cmp spoof y no el ataque es la que tendrá muchos esquemas problema de este esquema para hacer una botnet que tenemos que estar en la red de la local y nosotros lo queremos hacer a lo grande a través de internet nos vale no por supuesto vale siguiente opción marín de browser otra cosa muy chula cuando navegas queremos instalar algo que acceda a todo lo que tú estás poniendo en el navegador esto por ejemplo lo sabéis con el troyano este tan famoso como se llama la barra de google no vista la barra de google lo instala en la barra de google y la barra de google como es un componente del navegador tiene acceso al 100% de la estructura de la página web al dom de los objetos todo el navegador es suyo así que si tecleas una password pues tiene acceso a ella porque está instalado como plugin dentro de tu navegador esto lo sabéis no pero bueno todos confiéis en google y sabéis que no vale entonces instalas un plugin y te roba todas las contraseñas esto es muy común y se ha utilizado desde hace muchos años en el año 2004 2005 comenzó el mundo del cibercrimen a utilizar este truco y de repente desde la escuela rusa lo que me llegaron son un montón de troyanos que se instalan como vih o sobre el ser helper o jets que son plugins como la barra de google que no tienen representación gráfica es decir no tienen interfaz de usuario pero tienen acceso al 100% de lo que está pasando en tu navegador y lo que hacen es algo tan tonto como que cuando te conectas a la url de un banco pues cogen el código html de la página lo modifican cambian el código html para que cuando tú introduzcas la contraseña en vez de enviarla al banco se la envié al panel de control de los rusos vale esto es muy típico de hecho se creó la frase de hay un ruso en mi internet explorer y el tema de cómo veis ahí es estos como son muy evolucionados y el truco funciona para el 100% de los bancos del cien por cien de las webs lo único que necesita ese troyano es un fichero xml tan chulo como ese donde se configura que antes de este código html a este código html es tan sencillo y funciona problema tienes que crearte un binario tienes que distribuirlo la gente lo tiene que instalar no tiene que saltar la firma del antivirus etcétera muy peligroso muy mucho trabajo así que nosotros pensamos en otro hombre en medio que es el man in the tap el hombre en la pestaña vale ya no está dentro navegador está dentro de la pestaña y para hacerlo es tan sencillo como poner un poquito de javascript una pequeña función cita de javascript que se carga con la página que tú estás cargando vale tú cargas tu página html y dentro de ellas se vinculan script en javascript y entonces esos ficheros en javascript también tienen acceso a lo que está pasando dentro de esa página por supuesto a todo lo que está dentro de la pestaña también a las cookies si no están marcadas como http only y pueden modificar cosas cambiar hacer esquemas de phising crear los formularios para robar lo que está tecleando etcétera muy sencillo te vale la gracia de del javascript es que ese caché a entonces como está cacheado aunque tú te salgas del navegador y lo vuelvas a abrir si no has borrado la caché sigues estando infectado por supuesto en el momento en que borró es la caché estás libre así que no hay problema porque vosotros soy de los que borra y la caché de todos los días la verdad es que pierdo un poco de sentido porque quiero la caché si la tengo que borrar si la caché está precisamente para que no la tenga que borrar pero si no la borró pues me puedo quedar infectado este es el contrasentido bueno esto es un ataque conocido y de hecho hay frameworks para atacar a los navegadores como vip que es browser explotation framework project que lo lleva un italiano y la idea es muy sencilla es un panel de control tuning inyectas en una página web ya o sea utilizando cross site scripting o un man in the middle en red de área local o lo que se te ocurra un fichero javascript y ese fichero javascript se carga con la pestaña y lo único que hace es conectarse al panel de control y leer los pilots pues los pilotos son dame las cookies dame las contraseñas ejecuta este programa cambio la página y hace un fishing pide la contraseña de gmail pide la contraseña de twitter y va haciendo cositas es muy chulo y el problema de beef es que el fichero el javascript que inyecta está firmado por las compañías antivirus así que nosotros decidimos vamos a hacernos nosotros nuestro propio javascript cómo crear una bondad en javascript from the scratch en scratch from desde el principio vale bueno lo primero que se nos ocurrió fue crear un nodo thor falso o un robot tornoe no crear un nuevo torno nazis el proyecto tor se lo utilizan muchos hackers y que quieren ser anónimos y tal y la gracia de thor es que entre estos se llama el enrutamiento de la cebolla y porque tiene un montón de capas se llama así de onion routing y la gracia de del enrutamiento de la cebolla es que entre cada dos nodos intermedios la conexión va cifrada para que no pueda haber man in the middle aparte se borra cualquier información de la dirección ip previa para que no se pueda trastear y que sea todo muy anónimo pero el nodo de entrada y el nodo de salida no van cifrados evidentemente entonces si tú configuras un nodo de entrada a un nodo de salida falso puedes acceder a todo el tráfico de la gente que está utilizando la red tor y por supuesto puedes manipular las respuestas porque estás en un hombre en medio y enchufarle tu bonito javascript vale bueno esto lo hicimos pero la gente de thor después de que estuviera funcionando 24 horas nos enganchó la manera de detectar que alguien está haciendo una manipulación en tu canal de comunicaciones es muy sencillo es te conectas a través de la red tor a un determinado sitio del que conoce la respuesta te conectas sin utilizar la rectora al mismo sitio y si las respuestas no son las mismas pues alguien te está tocando los paquetes esto quiere decir que la gente del rector nosotros hicimos un bonito dns spoofing y cambiamos unos dns lo normal es del banco de américa es de cajamadrid lo normal y hicimos unos 13 spoofing no fueron esos y en una de esas baterías de prueba nos cazaron y dijeron ahora tenemos un nodo falso así que nos balearon y ya no nos enviaban tráfico a nuestro doctor nuestro doctor así que decidimos cambiar este esquema y pensamos por un entorno mucho más cómodo y mucho más sencillo y muy popular entre todos los informáticos que es montar un próximo cuántos de vosotros sabéis utilizar un servidor proxy en vuestra vida es bastante curioso porque si te vas a internet del manual de cómo ser anónimo o cómo ser un hacker lo primero que tape es conéctate a través de un proxy que la biblia de alguna vez eso para hacer anónimo conéctate a través de un próximo anónimo bueno el caso es que montar un proxy está chupado supongo que si estáis en informática el laboratorio de segundo de sistemas es quick proxy lo habría montado alguna vez o cualquier otro vale muy sencillo 'the así que pensamos en montar un servidor proxy y hacerlo sencillo te vale en segundo lugar para para no tener problemas y poder hacer una bondad mundial pues lo que tienes que hacer es contratar un servidor y un servidor en internet en un país donde la legislación sea más o menos como inexistente vale la gracia de la legislación en internet es que lo que haces en un país es ilegal y lo haces en otro y es legal vale esto lleva a que haya países en el mundo donde el phising no sea un delito y donde entrar y hackear una web y robar las contraseñas no sea un robo de datos porque los datos los sigue teniendo el tipo tú solo los has copiado vale no has privado al dueño no no esto es esto ha sido así también en países europeos tú no has privado al dueño del bien no entonces dependiendo donde tú tengas el servidor lo que haces es ilegal o no así que nosotros decidimos a comprar un servidor en un país donde todo fuera legal compras un servidor al olvidar por ejemplo a amazon vale recordar que a wikileaks a la mínima de cambio le dieron una patada de amazon mega blot que ya lo echaron pirate bay que también están en ello así que cualquier lugar sin una legislación férrea ya sabéis afganistán irán pakistán chechenia te compras el servidor después lo que hace es este monto es quick proxy y para montar el script proxy esto es tan sencillo como esto que tenemos aquí vale ahí tenemos el próximo alisios o y lo que hace lo cómo funciona esto es que el cliente pide al próximo una web vale y esto se lo pedimos al servidor auténtico le pedimos la web la web nos la llega a nuestro servidor vale es una web no está una página html ni nos preocupamos de ella podríamos haberla infectado pero las html no las infectamos por las contentpolis is que vienen ahora en html5 y que pueden pueden restringir el uso de javascript en html para llega a la página normal pero luego ya en esta página y pide un jota un javascript entonces pedimos el javascript original y en la respuesta a nosotros le inyectamos a ese javascript como veis un fichero que en nuestro pasarela payload como queráis llamarlo que es nada más que un fichero al final de ese javascript de todas las funciones que hay nosotros metemos la nuestra contenido vale esto es muy silencioso es muy estilo porque es el javascript que viene en la página solo que luego modificado un poquito si el javascript no viene firmado digitalmente si no hay una comprobación extra es imposible de detectar vale entonces los antivirus tampoco lo van a detectar porque es el mismo javascript vale por supuesto esto lo que hace es conectarse a nosotros y nosotros le vamos a ir diciendo lo que tiene que ir haciendo para hacerlo pues muy fácil muy sencillito en el squid simplemente activamos el módulo de red white ale activamos el re white y lo que hacemos es que le vamos a la re escribir con un fichero pero vale que ahora os enseño lo que hace ese fichero ppl y luego tocamos la política de caducidad de la caché el espray son policy y lo ponemos que 3 mil 10 days para que esté 10 años que es lo normal que dura un sistema operativo india bueno con eso lo que hacemos es que cada vez que llega un fichero javascript como veis aquí nosotros lo enchufamos a pelot en nuestra lo cogemos con w que es desde el sitio original y luego hacemos un cat de nuestra pasarela redirigirá al fichero que vamos a devolver sencillo como el solo vale y lo que le estamos enchufando no es nada más que un javascript como éste que lo único que hace es comprobar que no se ha creado un objeto porque si una página web carga 10 javascript nosotros vamos a infectar los 10 javascript pues bueno para que no se arranque 10 veces nuestra función entonces la primera crea el objeto el resto ya ve que ya se ha creado y no tiene que acceder y lo único que va a hacer es reportar al servidor con un callback la dirección ip de nuestro voto vale sencillo 'the como hacer un proxy para infectar gente vale como no queremos hacer nada ilegal lo siguiente que tienes que hacer es poner una alerta vale que diga oye este próximo server está siendo utilizado para una investigación de seguridad todos los ficheros de javascript van a ser infectados y todo tu dato va a ser recogido si tú no quieres estar seguro no lo uses este servidor proxy si usas este proxy no uses datos e información sensible si después de todo tú lo continúas lo haces pues datos en tu propio riesgo vale por supuesto ni dios se lee esta política de seguridad ni ideas de ley esta política de seguridad pero tú la pones y alguien puede decir pero es que esto no tiene sentido bueno pues nosotros ahora copiamos al gobierno de los eeuu esto es un ftp del servidor de logo del del ejército de eeuu que decía warning the following and security peace idish por temporada blood in an doblar your fight for official government y use only sea estos sólo para documentos oficiales y luego te dice que es inseguro vale porque la única medida de seguridad era ésta sólo había que dar clic aquí y entradas al ftp sin usuario ni contraseña mal bueno esto era la medida de seguridad así que nosotros copiamos la misma medida de seguridad vale hemos creado nuestro servidor proxy lo tenemos listo ahora como conseguimos infectar miles de devotos pues tan fácil como irse a algún sitio de internet tan comúnmente utilizado por los hackers y por los malos criminales y por toda la gente que quiere ser anónimo que son listas de servidores proxy y decimos hemos encontrado un nuevo servidor y lo publicas vale y lo que sucede es que en 24 horas internet hace su magia y nuestra dirección ip de nuestro servidor proxy estaba ya en mil 110 sitios copiada lo que es guay para nosotros vale es decir que había mil 110 listas distintas en las que aparecía nuestra dirección ip como un servidor proxy anónimo de nosotros lo dimos de alta en un sitio y por supuesto que es lo siguiente pues crear pay love para ver qué hacemos con estos bots así que nada el primero de ellos robarle las cookies nada más que cogemos la las cookies que no vayan por http only y que no estén por seguir podríamos haber hecho un programa para robar las cookies con http o instalando un ya va buscando queda [ __ ] la cookie cuando nos llegan o haciendo una petición a un error 400 de apache no parcheado si cogemos la respuesta había hay trucos para robarlos http only pero las dejamos sin [ __ ] sólo las normales y por supuesto queríamos ser steel así que no interceptamos no interrumpimos ninguna conexión https porque tampoco teníamos el certificado digital de flame ni ninguno de los que utilizan los gobiernos así que no sólo las cookies que normales luego otra de las cosas que hicimos es jugar la función submit todo formulario cuando se envía por internet tiene la función se admite con nosotros metimos un javascript en el samic que decía enviarla el formulario donde tengas que enviarlo pero también envía no sólo a nosotros así vemos lo que has tecleado en el formulario y si es usuario y contraseña pues mejor que mejor y el siguiente tiempo puedes disfrutar vale bueno este es el este es el aspecto que tiene la bondad inicialmente son cuatro mil y pico yo he entrado nosotros la desconectamos más la desconectamos de internet no queremos que nadie esté infectado ni nada esto lo hicimos en 24 horas al estuvo funcionando después yo monté otra bones para uso personal alguien me copió la ip no sé por qué y bueno yo ahora mismo tengo una base de datos que está aquí y bueno si le doy aquí ya overview puede ser que tarde un poquito ahí está salido voy a entrar voy a entrar esta es bueno está ya no está función está conectada hemos cambiado el puerto del próximo se me ha caducado la sesión bueno tarda un poquito tarda un poquito porque ahí está ahora mismo hay cinco mil y pico bots infectados como veis de países de todo el mundo trinidad y tobago corea nueva zelanda paraguay sudan mongolia marruecos grecia kenia austria nederlands bueno todo lo que queráis vale hay sitios por supuesto españa a ver cuáles son más infectado vietnam 2.596 porque con eso bueno esto celeste en este ejemplo vale bueno la pregunta que nos hacíamos y por lo que realmente hicimos todo esto es vale nosotros hemos puesto un proxy un internet interceptamos y tal quien [ __ ] está utilizando este tipo de proxies quien está conectándose a internet a través de este tipo de proxies esa era la pregunta que nos hicimos pues como podéis imaginar nos encontramos de todo vale y uno de los que nos encontramos evidentemente fueron escáneres vale los estafadores el más popular de ellos es el del nigeriano ya sabéis el del pobre el príncipe que tiene un montón de dinero y no sabe cómo sacarlo y te necesita a ti para sacar los esquemas del nigeriano hay 28.000 siempre es lo mismo es te prometen una cosa muy grande pero tienes que ir pagando poquito a poquito dinero y la promesa puede ser el oro del príncipe de nigeria o una rusa espectacular con unos domingos así o porque es así o quien sea no te pueden ofrecer cosas uno de los que nos encontramos que se había conectado era un escáner como veis aquí tenemos su buzón personal entramos en su correo y era la habíamos avisado de que íbamos a recoger las contraseñas bueno este es el buzón de uno muhammad yasitata y bueno lo que hace este el truco que utilizaba era una campaña de spam de la british immigration lawyers war of director es decir que nosotros somos la la mesa de dirección del abogado de inmigración del gobierno británico y mira por donde te vamos a dar una visa de trabajo en el gobierno británico esta estafa es muy fácil de colarla porque en eeuu existe lo que se llama la lotería de la green card la green card lotería entonces una vez al año que parece que es ahora en octubre se sortea y se toca la green card lotería pues puedes entrar a trabajar en eeuu entonces es muy fácil clonar esta idea para el gobierno británico en el gobierno británico os imaginaréis que con los conservadores que son esto de darlas es licencia para ser británico por lotería no en los managers es común pero este tipo hace un spam y masivamente y como veis hay muchos que le contestan vale yo sab simba david sanz hits i'm up sana mir basin bad para un montón s ua simbad 94 es el culo de wasit 24 curioso bueno el spam que estaba enviando era un spam como veis aquí de yuca immigrationworks permitan vais a services y pedían 235 libras quieres entrar 225 libras y te los resuelve por supuesto muchas de las respuestas eran algo algo así como oye me interesa mucho pero yo no te puedo pagar nada hasta que no me des primero la vista dudamel avisa y yo te doy el dinero no esto es muy típico en internet en todas las transacciones ilegales no se llamará pasta a quien te tengo un troyano ya enséñame la dame dame troyano dame tu la pasta primero no tengo un cero de nada metro pasta está esto es muy típico no y aquí pues en este caso hay alguno que no se decía pero por supuesto encontramos muchos que estaban enviando todos los datos como veis con su pasaporte conforme el currículum vital curiosamente está bien vivo hasta las huellas digitales vale la foto las cartas es el robo de identidad más fácil y más sencillo que he visto nunca vale es una campaña de spam y pides documentos de identidad y la gente te los los envía esto es una locura porque con estos datos es fácil abrir cuentas corrientes en barcos online pedir créditos etcétera ya sabéis que hay seguros contra el robo de identidad hoy en día porque es mucho más común de lo que la gente se piensa el robo identidad bueno este es uno de ellos otro que nos encantó fue éste cuando vimos esto dijimos [ __ ] la primera cosa que nos viene a la cabeza es esta tía necesita una web de contactos para ligar la segunda y ésta fue fue y esta tía sabe usar un proxy no no esto es así porque tenemos una amiga que era de este tipo y un día un profesor le dijo como sigas así nunca vamos a llegar nada a la vida de la chica se levantó y dijo y tú piensas con esto necesita gracias bueno evidentemente esta chica nos llamó la atención no por lo que creéis la atención y lo más curioso es que no necesitaba un sitio sino que tenía dos y en éste tenía 30 años y si veis ahí vive tiene 30 años viven que leer texas lo veis ahí pero en el otro perfil tenía 31 era y es inglesa y vive en auckland new zealand en nueva zelanda pero que había otro tercero que se llamaba igual era tal y vive en lynchburg virginia en estados unidos de américa y un cuarto perfil que sea cómo está y cómo juegue como ha cambiado era en la misma cuenta conectándose a la misma ip a un montón de perfiles de contactos en internet como podéis imaginar esto es un depredador que lo que está buscando es víctimas en redes de contactos redes sociales y bueno como habíamos puesto un advisor y de aquí vamos a acceder a sus usuarios y contraseñas pues accedemos los usuario y contraseña y entramos dentro de su buzón vale y dentro del buzón de este tipo pues era curioso porque tenía todos los chats de todas las conversaciones las conversaciones eran como estas aquí hello sweet y empieza bonito le contesto hello my sweet mouse y una de un ratón magic mouse el otro sweeting esta tiene un poco un poco extraño vale la gracia es que la al final le está pidiendo pasta como podéis ver en este caso la estafa es muy sencilla este enseña en el hombro te enseñan un pezón y te piden pasta para el viaje que te van a hacer un montón de cosas y el señuelo de lo que está por medio es que le están pidiendo fotos y me ha hecho mucha gracia porque le pide ni que pits no tengo muy claro y creo que es naked de rock le piden y qué pítchers la gracia es que esta tipa está diciendo que es de que es de new zealand o de virginia o no sé qué y en mitad de la conversación claro esto es un trabajo que requiere dedicación tienen ag de carne ahora entonces tiene varias víctimas al mismo tiempo y a veces se le cuelan conversaciones de una a otra entonces recordáis que en una foto era la rubia y tan bueno pues en mitad del chat este como veis en la última le sale la otra disfraces y estas fiestas queda como bueno evidentemente este pájaro en alemán es un alemán es un pájaro y entramos en su buzón tenía un montón y si miramos por western union por western union buscando que es la forma en la que te piden dinero porque es la manera más sencilla de hacer el dinero intratable es lo que utilizan todos los cibercriminales pues veíamos un montón y las conversaciones en el mail eran hello sweet you why you have no sé ni de nyc & pictures super miami anaya senior mining pictures amplis ton show y sanador presión formal y ahora está toda la data y el otro joseph le dice hola baby no no sé por qué pero mi banquero me dice que el lugar donde me estás pidiendo que envíe el dinero no corresponde con la dirección donde tú dices que vives vale y que no te lo envié que suena turbio y es que otra dice fuck is it stop playing game on me deja de jugar con mi corazón no estoy dándote mi dirección de verdad y lo que diga tu banquero me la trae al pairo estás van damme el dinero de tal utilizan medidas de presión hay de todo es muy curioso lo de la del tipo este luego otro de los que nos encontramos será un tío que se dedicaba a vender masivamente un perro un perro que no existe vale porque lo había vendido como un montón de veces el mismo perro y nosotros decíamos qué [ __ ] está vendiendo este tío madre entonces ya entramos a ver dónde estaba qué [ __ ] cómo estaba haciendo dinero con un perro y descubrimos por qué bueno la gente es muy muy morbosa y bueno la foto que os voy a enseñar yo os aviso puede herir vuestra sensibilidad porque entramos a ver qué [ __ ] de perro estaba vendiendo este tío y lo que vendía es lo siguiente por favor no miréis si tenéis el corazón sensible porque era esto el perro más rentable de la historia un your side con un lazo rosa y un collar de perlas que lo del collar es un toque espectacular y bueno estaban vendiendo sistemáticamente el mismo perro así que cuidado que el perro es en internet en your site bueno por supuesto gente que entraba allí de todo tipo esto es el aspecto de nuestra botnet y cogemos todos los formularios entonces en este sitio estaba buscando un colombiano pues cosas como madrid y asesinato de hermana nación de hermanos violenta violación violencia estuvimos tentada de enviarle la ip a la policía colombiana por institución psicótico tremendo bueno un montón de ellos mucha gente intentando ser anónimos como lo primero que hacen es en todos los manuales leer si quiere ser anónimo conéctate a un proxy a un servidor proxy de anónimo pues se conectan y lo siguiente que hacen es pedir what's my tío sea cuál es mi dirección ip o algún servicio y lo curioso es que claro el tipo le está diciendo el servicio que que sí que si pela 71-57 no sé qué vale y nosotros sabemos cuál es su verdadera ip no hay ningún problema porque estamos conectados directamente a él o sea para el servidor que está detrás es nuestra dirección ip pero para él para nosotros es su verdadera ip así que los habíamos sido algunos muy curiosos porque tienen servicio donde tienen que poner hasta su usuario y contraseña así que tenemos el correo aquí de victoria victoria es eres anónima bueno un montón de sitios no de estos esto aquí bueno luego otro de los que encontramos en el proxy este tenía un negocio un tanto extraño para nosotros hemos llamado stranger in stranger land porque no sabemos exactamente cuál es su business el tipo este entra en una web que es esta vale donde el negocio es leer artículos vale tienes que leer artículos por su sistema te va mandando artículos y tú los vas leyendo entonces el negocio es que este tipo en dos o tres meses que llevaba había ganado 24 dólares como veis hay 94,38 dólares no le vemos claro el negocio pero el tipo lo seguía con ello bueno supongo que este tipo se estaba conectando a través del servidor proxy por algo muy sencillo y es que le tendrían bloqueado este servicio dentro de su empresa o lo que sea y los usuarios de las empresas cuando les bloqueas buscan canales alternativos que puede ser mucho más peligroso vale de hecho una de las cosas que más nos llamó la atención es el tema de facebook gente conectándose a facebook a través de él de nuestro próximo de hecho si vamos aquí y vamos a crear formas qué son los formularios que hemos encontrado y ponemos facebook y le damos pues bueno pues ahí tenéis gente conectándose desde china a facebook vale al final nos dimos cuenta de que había un patrón se conectaba a gente de china desde egipto desde rusia entonces decimos esto porque es pues bueno lo de china y egipto es bastante interesante todo el norte de áfrica a los países árabes está bloqueado facebook por él porque la revolución árabe la primavera árabe se coordinó por facebook vale aún nos hablan de perfiles falsos en facebook creados por el gobierno americano y tal que probable y que es probable y empezó por facebook la gente a coordinarse no entonces estos países bloquearon las redes sociales recordaréis que egipto desconectó los servidores bgp los border gateway protocolos con los que se conectan los sistemas autónomos a internet de egipto de la red de internet vale y ahora establo que hay en china pues está el grit gol de la gran el gran firewall o la gran muralla a través de internet y están bloqueados todos los sitios de facebook la putada es que esta gente está conectándose a través de servidores proxy y muchos de estos servidores proxy luego os digo os cuento cuántos de estos servidores proxy en porcentaje están haciendo lo mismo que no hicimos nosotros pues están recogiendo estos datos no y mucho peor con lo cual estos ciudadanos si por un lado si no utilizan los servidores proxy están jodidos y si los utilizan pues están jodidos vale que es la historia y de hecho se puede se puede meter en un problema porque te conecta al servidor proxy que no debes pueden saber que estás utilizando facebook te pueden meter un auténtico problema en tu en su país muy muy triste pero bueno es lo que hay nos encontramos hackers por supuesto hacker hacker jackson vale nos encontramos con uno que como veis el tipo aquí tenemos swipe él entraba a través de un proxy pero nosotros sabemos si era de turquía vale y nos dimos cuenta que en el formulario nos llamaban cosas como open file action de ir en tren public de tren hambler wordpress vale eran rutas de un sistema linux y evidentemente dijimos esto es una web self que le acaban de enchufar a este sitio entramos al sitio web como veis y ahí está yo no sé para qué quiere ser anónimo si pone su dirección de correo electrónico era un hacker turco como habéis visto y bueno lo gracioso es que nosotros lógicamente le habíamos infectado un hack un javascript porque su web se estaba hackeada muchas de las webs es que son esto es simplemente un fichero php que uno jsp o una s p asx que se sube a un servidor web por medio de una vulnerabilidad ya sea un error o sea un envíame tu currículo envíame tu foto o lo que sea se sube la web cel al servidor y te permite gestionar el servidor desde el php bueno pues muchas de éstas están trojan izada si veis que tiene aquí un javascript que expone security el security javascript es un truco que utilizan los hackers para hackear a hackers menos listos que es toma bájate a mi web se lee y trabaja en la web cel y está trojan izada de tal manera que cada vez que jaquea si subes esa web cell por medio de ese javascript se reporta al hacker que te ha dado la web ser el lugar donde ha subido la webs el así que te roba las víctimas es bastante bastante curioso en este caso la web se le estaba pidiendo un fichero que ya no estaba lo veis allí sino el punto hereje ya habían desactivado el panel de control de esta web shell pero como era una petición javascript devolvía a un not found pero ese no solo interceptamos nosotros y cómo eran javascript le metimos nuestra pasarela y la infectamos vale así que al final el hacker que estaba saqueando a cabo hackeado vale una de las cosas que más nos llamó la atención fue la las intranets como como es posible que nosotros con las bondades en javascript fuéramos capaces de acceder a una intranet en este caso era un servidor como veis aquí que se llama colon vale en méxico nosotros no teníamos acceso a ese a ese servidor porque era un no era un efecto de m no era un full y qualify domain name no podíamos conectarnos a él y sin embargo le habíamos robado usuarios y contraseña ahí tenemos al usuario no 9 gustavo 0 9 y le habíamos robado los datos y tal y cómo es posible que pasara esto y entonces entendimos un poco lo que había pasado al final lo que sucede es que este tipo en la intranet pues ha debido utilizar un javascript que sea pues el típico javascript este para cargar menús o para cargar cosas bonitas oa lo mejor le ha puesto en google analytics o cualquier otro javascript de internet y en el momento en que hizo esa petición de internet quedó infectado vale infectamos este javascript de internet lo más peor lo peor de todo lo peor de todo lo peor de todo es que también queda infectado después de que se desconecte el próximo y ahora eso lo vamos a ver después bueno por supuesto por no vale encontramos porno no siento suerte si se descubrieron pensé en una iglesia de hace 700 años pues porque no vamos a descubrir porno en un sitio en unos servidores proxy de todo tipo de servidores porno y el que más todas las contraseñas que queráis y lo el que más nos llama la atención es capture beit vale ya sabéis que estar roulotte tuvieron que poner un filtro para detectar penes porque la gente utilizaba el charlotte para enseñar sus fines entonces ha habido un fork aquí un spin-off que se llama capture beit que es al contrario que comprueba que esto es enseñanza directa tenemos una colección de sitios porno que no habíamos conocido en nuestra vida vale la gracia la gracia es que viendo cómo funcionaba esto se nos ocurrió que si habíamos sido capaces de infectar una una intranet por qué no hacerlo con un ataque dirigido es decir si yo sé que una empresa tiene una determinada intranet con un determinada estructura y sé que hay un fichero javascript en http dos punto para barra interna al barra fichero punto js vale es interno yo no tengo acceso desde internet a ese fichero vale ningún acceso del fichero pero puedo hacer lo siguiente y es que si alguien se conecta a mi servidor proxy desde por ejemplo una de las direcciones ip pública del banco de américa y yo conozco cuál es la intranet del banco de américa vale pensar que el banco de américa es una empresa muy grande o puesto delante de américa puede haber puesto aquí la el cabildo vale por ejemplo es una red grande e intranets hay mucha gente que está trabajando en un surfing o subcontratados la información de las aplicaciones al final se conoce más o menos etcétera si alguien es capaz de conocer ese javascript que hay que pedir podría a cualquiera que venga desde esa determinada ip solo cuando venga desde esa determinada ip y forzarle a que visite la página que visite visite la página que visite se descargue el javascript de la intranet entendéis esto obligaría que al final nosotros siempre vamos a infectar lo de hecho nosotros lo que hicimos es hacer ataques dirigidos a banca lo hicimos con nosotros tú te conectas al proxy y tú no te vas a conectar a tu cuenta bancaria que no pero yo te digo bueno pues si te conectas a nuestro proxy de baja en lo que te bajes te vas a descargar un javascript de cajamadrid otro el link herido otro de facebook otro de twitter otro de bankia otro de la caixa otro del banco central otro de los bajas al solicitar todos esos javascript van a pasar por nuestro próximo nuestro próximo va a infectar vale y cuando te desconectes del proxy ese fichero javascript ya está infectado en el futuro cuando te conectes a tu banco oa la web de tu red social se va a cargar ese javascript que está infectado y nos va a reportar esa url vale así que podríamos hacer pay lots para infectar web sólo tenemos que mirar cuáles son los javascript que se cargan aquí vale entonces bueno para esto seleccionas el objetivo ya sea un banco una red social una intranet analiza los ficheros que cargan y lo único que tienes que hacer es crear un pilot que fuerce para su descarga vale un ejemplo que nosotros hicimos que no voy a hacer ahora en real pero que es este aquí tenemos una web que es si os fijáis arriba es members punto cl punto hereje el 13 de güell es crédito credit no sé qué union league la california credit union league es un sistema de financiación en california y ya que vamos a hacer la demos la pega pues queda muy chulo podría haberse hecho con cientos de miles sitios en internet vale entonces cogemos infectamos esa web fijaros que es una http esto es un problema que tienen muchísimas webs y mucho los sitios de tanto de pago como intranet o sitios de redes sociales en las que el login se pide en una página http y cuando haces clic pensad mit se conecta a una https vale esto lo que se llama es un breaking hay un brillo http https un puente entre el http y el https pero nosotros estamos infectando la página http que es donde se está metiendo el usuario y la contraseña estamos jugando el sad mid de la página http y por lo tanto estamos accediendo sin romper el canal seguro a todos los usuarios y contraseñas vale entonces bueno pues vemos ahí la web y lo único hay que hacer es esto es una parte cómo funciona el panel de control donde tú eliges te elige te creas tu sitio y cada uno de estos sitios lo único que tiene como veis ahí está el california credit union league es simplemente algo tan tonto como document write es crear script type y te baje el javascript nosotros hemos seleccionado fácil fighting fácil y ahora un brick aconseja al sencillo como el sol o simplemente un documento write yo creo que podéis hacerlo una vez que hayas acabado el proyecto en antes no es un documento write y listo y bueno pues por supuesto lo que sucede cómo funciona esto es que la víctima se conecta para ver porno a través de un servidor proxy anónimo porque la empresa no le deja como veis nosotros hicimos el próxima y más le pusimos un puerto que nos ha llamado la atención el 31 337 vale si nos hallamos la atención a vosotros entonces haciendo que pasen estas cosas bueno el puerto 31 337 que es un puerto muy significativo un número muy significativo dentro de la comunidad hacker y bueno te conectas a él navegas al sitio a cualquier sitio y lo que te sucede es que ese script te baja ya ha infectado aunque no te conectes a ese sitio entendéis tú te conectas a ver porno a lo que quieras pero ya te baja ese javascript infectado después tú te desconectas vale y te conectas al sitio de verdad y ahí pones tu usuario y contraseña aquí donde pone a interior email address y your password y lo único que sucede es que en nuestra botnet pues no llega pues tú password y tu contraseña vale es tan sencillo como eso se pueden hacer ataques dirigidos para todo vale algunas ideas sobre esto nosotros hicimos una una prueba muy sencilla y muy rápida sin invertir mucho dinero sin alcanzarnos demasiado he visto todo lo que había que hacer y no nos preocupamos ni de objetos pre cacheados vale que ya estuviera en el dispositivo ni de las setas las etiquetas que indican si ha sido actualizado para esas para esos entornos si lo quieres hacer muy profesional en ambos casos se puede forzar que caduque el objeto contenido en la web y que se descargue el tuyo infectado o sea que eso tampoco te salvaría tampoco nos nos preocupamos de https vale en ningún caso nos preocupamos de https pero a https está muy en entredicho desde lo que ha pasado en los últimos años primero tuvimos el caso de los certificados digitales que se robaron acomodo con el cual se crearon certificados de gmail de hotmail de todo lo que quizás se robaron a seis o siete entidades de hecho cómodo tuvo que cerrar como entidad certificadora debido al gran escándalo en segundo lugar tenemos el problema de las entidades certificadoras intermedias controladas por gobiernos es decir si una entidad certificadora china le da autoridad a una entidad certificadora intermedia del gobierno chino y esa entidad certificadora del gobierno chino genera un certificado para gmail vale como está en la raíz de confianza de una de las que están en tu equipo por defecto pues tú te comés que ese certificado digital es correcto porque así lo es aunque el de email auténtico sea de verisign vale porque así funcionan el sistema y luego por supuesto hemos tenido casos como el de flame que ha sido un malware que ha estado funcionando cuatro años cuatro años con un certificado digital generado por técnicas de criptoanálisis y de ataques criptográficos a partir de los certificados digitales de terminal services y que ha permitido robar el cien por cien de los datos a https vale en sistemas microsoft ya está funcionando cuatro años está funcionando hasta que ha caducado el certificado falso ha sido la coña es verdad el caso de flame de hecho microsoft sacó un advisor y este verano diciendo estos certificados quedan baneados tarde pero bueno y luego casos como los de juliano rizzo y tyrone que publicaron el año pasado el caso the beast en el cual demostraban que con un man in the middle tú puedes meter por medio de javascript un plugin y robar todas las comunicaciones https de una pestaña al ladito y hace hoy que es el lunes pues ayer hace 24 horas presentaron crime que es un sistema que permite robar las contraseñas https con todo verde de la pestaña al ladito o sea que el https es seguro pues hombre depende de quién sea si eres obama no vale y luego otro de los temas que se puede venir es lo de pero si yo tengo el no script que yo soy un hack short y yo tengo no escribí yo no uso no escribí uso ópera ópera con no script vale fue este loco me esté igual porque no sólo no sólo se para hacer conlleva scripts que no se puede hacer con un montón de otros protocolos que hay en el navegador como one uap o suenan todos están en vuestro navegador hay una presentación de marc de mario heyde bits que yo la estoy viendo en alemania que se llama colchón know how hackers exterior precious de data with or the script y es lo mismo inyectan un código pero no es javascript es un código que es wml o css oua por lo que sea y te permiten robar todos los usuarios y contraseñas o todo lo que te crees en el navegador muy interesante vale y lo más importante es que esto lo hicimos otros en un día cualquiera' en 24 horas se puede montar vuestra vuestra botnets la historia es que esto puede ser especialmente complicado y divertido con los tamagotchis ya sabéis estos dispositivos móviles de los que por desgracia nadie tenéis ni [ __ ] idea cuántos de vosotros podéis decirme yo que sé 3 ficheros importantes de windows phone 7 5 mango bien seguía diciendo como iba diciendo de los que nadie tiene ni [ __ ] idea de cómo funcionan los tamagotchis de hecho es bastante críptico el funcionamiento porque de base cuando se crean los dispositivos móviles se crean con ese oscurantismo apple no ha sido hasta hace tres meses que ha publicado el paper de seguridad genios para explicar la arquitectura de seguridad cuando estamos hablando de un dispositivo del año 2006 desde el 2006 hasta el 2012 apple no había publicado ni un solo documento explicando cuál era la arquitectura de seguridad de ellos y lo que sabemos de ellos lo sabemos por charlie miller por punto g por cómo se llama este el más el nerd por los iphone dev-team etcétera gente que ha estado haciendo rever zinc para averiguar cómo funcionaban estos cacharros si os habla de blackberry o de android o de windows phone o de cualquier otro dispositivo el conocimiento que tenemos es pequeño y más os vale poner las pilas que sois ingenieros informáticos o vais a hacerlo porque hoy en día hay como el doble de sistemas operativos en dispositivos móviles que sistemas operativos de escritorio así que más vale saberlo y una cosa tan sencilla como borrar la caché del navegador en su dispositivo móvil 1 2 3 4 bastante bien bastante mal como se hace en blackberry no es fácil y en ellos tampoco es fácil no es botón derecho sobre navegador cerrar tienes que ir a las opciones etcétera y luego es muy curioso porque empieza el lanzó un proceso pero como no hay background no te avisa cuándo termina entonces si tú chiche has la otra pestaña el proceso de borrado de caché no termina y la caché se te queda es bastante curioso y además tienen cosas curiosas como que tú no puedes borrar la red de wifi a las que te has conectado porque sólo puede borrar una red wifi cuando estás en contacto con ella pero si yo me conecta a la de starbucks y me voy al starbucks sin borrarlo como de estos dispositivos están diseñados para estar al wish connect en el momento que aparezca otra wifi que ponga starbucks sea auto conecta la wifi va con prioridad sobre la 3g y puede ser una wifi falsa porque para más inri ninguno comprueba él ve ese aire que es el identificador de la hamaca dresde el punto de acceso o la mac address de la red de infraestructura que se crea virtualmente así que con nodos falsos de ape falsos o con robert wifi se pueden hacer auténticos destrozos con este tipo de redes y este tipo de dispositivos y la pregunta es quién está utilizando esto quién estaba creando proxies anónimos en internet que estén haciendo cosas falsas pues pensad vosotros pero mucho más de lo que os creéis la gente de websense después de ver esta charla que yo la hice en eeuu en las vegas en el 31 de agosto después de ver esta charla hicieron la prueba un test cogieron una lista de proxies y hicieron lo que os he dicho conectarse por fuera y conectarse por dentro y el resultado que le salió es que el 18% de los servidores proxy estaban manipulando los datos está mal 18% o sea que si te conectas cinco veces dos te han enchufado por tener en su papá dentro no alguna tendente para dentro vale ya que cuidadito con esto y que se puede hacer pues bueno pues es un esquema de man in the middle todo beige claro que un proxy es un hombre en medio vale pues entonces como es un hombre en medio mucho ojo con ello así que no envíes ningún dato sensible a pesar de que existe alguna https que tengas una vpn a lo que sea y después de utilizarlos borra todo la caché no está amiga rompe la máquina virtual la vpn tampoco es tu amiga si te conectas por una web en y luego en próximos estás está fastidiado y por supuesto si tenéis mch tampoco producir alguna de maquillaje más seguro está enfocado y nada más muchas gracias alguna pregunta