Por @Alvy — 16 de Septiembre de 2020

Instagram con la tarjeta de embarque de Tony Abbot, Primer Ministro australiano

¡Niños y niñas! No hagáis fotos de vuestras tarjetas de embarque para enseñarlas por ahí, y menos las compartáis en Instagram, Facebook, Twitter, que nunca se sabe lo que puede acabar pasando. Y es que con la información visible se puede llegar a conocer a veces el número de pasaporte de una persona, entrar en sitios web suplantándola, averiguar más datos personales… y liarla parda. Por aquí Wicho ya avisó hace algunos años al respecto.

Esto es lo que cuenta un hacker llamado Alex con un gran sentido del humor en When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number («Cuando estás mirando Instagram y te encuentras con el número de pasaporte del Primer Ministro australiano Tony Abbot»).

La historia es tan larga que merece la pena leerla completa, pero un resumen más o menos rápido sería este:

Allá por marzo, a Alex –el hacker protagonista de la historia– una de sus amistades le envía una foto que ha visto pasar por Instagram (y que al poco tiempo se borró): es una tarjeta de embarque a nombre de Tony Abbot, que fuera Primer Ministro de Australia entre 2013 y 2015. Se ve que volvía de un viaje a Japón y por lo que sea la foto acabó en Instagram. Mucha gente las publica, por postureo o de forma inadvertida; de hecho buscando por #boardingpass es fácil encontrar miles de ellas. «¿Puedes hackear a este tío?», le pregunta.

Alex investiga un poco y descubre que si se tiene la información de la tarjeta de embarque se pueden «averiguar cosas» sobre el titular. Lo más relevante está en el código de barras y al mismo tiempo en un apartado llamado booking reference, que es lo mismo pero con números legibles. Con ese número va a la web de Quantas, que le pide para entrar en las reservas esa referencia y el apellido del titular.

Con eso ya estás dentro, que dicen los hackers.

En esas páginas no suele haber mucha información: nombre, apellido, ruta, número de viajero frecuente, etcétera. Pero se le ocurre mirar en el código fuente de la página donde, voilà, aparecen el número de pasaporte, fecha de nacimiento, país de nacimiento y tropecientas cosas más. ¡WTF de fallo de seguridad!

Entre otras cosas también aparecen su número de teléfono y todos los códigos SSR (Special Service Request) asociados al billete: cosas como si prefieres ventanilla o pasillo, comida vegetariana o si llevas un animal de apoyo emocional en cabina (una mascota, vamos). [Del tema «animales de apoyo emocionales» en los aviones podemos hablar otro día, por cierto].

Llegados a este punto Alex decide que teniendo el teléfono móvil personal del ex-primer ministro de Australia se puede meter en un buen lío y comienza un largo periplo para avisar del problema/agujero. Primero lo intenta en la aerolínea, pero la web de Quantas funciona tan bien como la web de Renfe por lo que se ve. Luego pregunta a un abogado por si las moscas, mira si puede avisar al Gobierno o a algún otro sitio. Todo es un poco lioso. Finalmente decide enviar un correo a la agencia de seguridad australiana, que le contesta pidiéndole más información.

{Ojo, spoilers a partir de aquí}

.
.
.

Reto: Que No Te Arresten

La historia tiene final feliz: El agujero de seguridad se resuelve. Quantas lo achaca al vetusto de sistema Amadeus de las aerolíneas, pero no da más información. Alex consigue localizar a una persona que es el asistente del asistente de Tony Abott. Finalmente el propio Abott, interesado en el tema, acaba hablando por teléfono con Alex para ver qué sucedió e interesarse al respecto [lo cual equivaldría a que aquí en España Aznar llamar a alguien para interesarse por su hackeo]. Alex incluso le habla de transcribir la historia, que es lo que hace (es el artículo enlazado al principio de esa anotación) y además con gran sentido del humor. De hecho en su página hay un diploma honorífico “Por sus logros en el Reto «Que no te arresten» 2020”… porque en algunos momentos se temió lo peor.

Moraleja: aunque no se acaba el mundo por que publiques una foto de tu tarjeta de embarque, igual prefieres no hacerlo por la cantidad de información que alguien con ingenio y habilidad puede llegar a extraer de ella. Y si se combina con otros datos personales, entonces sí que se puede liar una buena.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 27 de Agosto de 2020

Steganix

Jordi nos escribió para contarnos que ha publicado Steganix [Windows, gratuito], un sencillo software de esteganografía para ocultar mensajes en imágenes PNG. Se toma un mensaje y una imagen cualquiera, se «mezclan» y se envían. Si nadie sospecha, la imagen parece una imagen normal y corriente; cuando llega al destino, se puede extraer el mensaje original.

Las bases de la esteganografía son tan viejas como la ocultación de mensajes secretos misma; en seguridad informática suele tomar la forma de imágenes en las que se modifican algunos bits o bytes de forma imperceptible (por ejemplo los bits de menor peso en cada componente de color RGB de los píxeles) de modo que visualmente «no se note» y utilizando el software apropiado se pueda decodificar el mensaje. Eso suele hacerse con imágenes GIF, TIFF o PNG, donde la compresión de la imagen no afecta al resultado final (que puede reconstruirse fielmente).

Adicionalmente, los «mensajes secretos» pueden ir también cifrados, como una especie de extra. Steganix utiliza AES‑256, de modo que la seguridad de la comunicación depende de que a) no se adivine que la imagen contiene un mensaje esteganográfico que se pueda extraer y b) la seguridad de la contraseña utilizada.

Existen herramientas específicas para realizar esteganálisis sobre imágenes y otros tipos de ficheros de forma automática. Steganix supera algunas de estas pruebas, de modo que los secretos podrían pasar desapercibidos si no se les somete a un profundo análisis. En cualquier caso el código no he visto que sea código abierto, de modo que no se puede garantizar nada dado que no se puede analizar cómo funciona (el clásico «la seguridad mediante oscuridad no funciona»). En cualquier caso, parece sencillo y cómodo para guardar secretillos de los que no dependa nada realmente vital o importante, y es una forma fácil de introducirse en el mundillo de la esteganografía.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 21 de Agosto de 2020

Cryptii: sistemas de cifrado, codificación y transformación de textos reunidos en una sola página interactiva

Esta pequeña maravilla de página interactiva se llama Cryptii y sirve para convertir, codificar y encriptar y desencriptar datos con unos pocos clics. Lo más interesante es que incluye decenas de opciones con muchos parámetros configurables, así que además de interesante y educativa es práctica y útil, y no necesariamente porque tengas que descifrar mensajes del código Enigma interceptados a los alemanes (que también se puede).

La forma en que funciona es muy intuitiva: las operaciones se ejecutan por bloques, de izquierda a derecha. Se pueden añadir con el signo (+) o eliminar con el menú (…) Al principio se puede poner texto, bytes o incluso cinta perforada como la del Telex.

Luego se puede elegir efectuar operaciones con ese texto: transformar caracteres, cambiar de alfabeto (morse, fonético), cifrar (Enigma, César, ROT13, sustitución, Vigenère, Bacon, cuadrado de Polibio…) o realizar operaciones de codificación informática (unicode, base64, URL-codificar) o criptografía «moderna» (RC4, Hash, HMAC…)

Cada operación tiene parámetros configurables y opciones, lo que le da más versatilidad: usar o ignorar los caracteres internacionales, definir el alfabeto, estragegias, modos, cifrar/descifrar… Lo que podríamos llamar el kit completo del criptólogo aficionado, en otras palabras.

Cryptii permite encadenar varias de estas operaciones, de modo que se vayan realizando una tras otra. De este modo se puede cifrar un texto al estilo César y luego obtener un hash o pasarlo por una operación de bits tipo XOR y luego codificarlo en Unicode o algo más enrevesado. Pero, ¡ojo! que como es sabido más operaciones no hacen necesariamente más seguros los datos; todo depende del poderío de las claves y sistemas usados, que en general es más bien de bajo nivel, porque esto es más bien una herramienta didáctica. A modo de ejemplo si alguien probar el clásico cifrado ROT13 dos veces consecutivas, garantizo que funciona a la perfección :-)

Quienes estén interesados en entender cómo funciona o utilizar algunos módulos tienen además el código de Cryptii en Github, donde Fränz Frieder y otros colaboradores lo mantienen y van actualizado con nuevas opciones.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 17 de Julio de 2020

Twitter hackeado

El ser humano siempre es el eslabón más débil.

– Kevin Mitnick
Hacker/cracker/phreaker y experto en ciberseguridad

Ayer nos enteramos de que Twitter había sido crackeado (que es más apropiado que hackeado) para cometer una estafa a gran escala. Básicamente los atacantes consiguieron de alguna forma emitir tuits desde cuentas muy conocidas e importantes, de las «verificadas por Twitter: Jeff Bezos, Bill Gates, Elon Musk, Obama, Warren Buffet, Apple, Binance, Ripple… La estafa era burda pero efectiva por el alcance de esas cuentas; ni más ni menos que el clásico «timo de la estampita» aunque modernizado en versión «si me envías dinero en bitcoins te devuelvo el doble, para apoyar la lucha contra la Covid-19».

Quien mejor lo ha resumido y tiene bastantes pistas acerca de cómo se hizo es el siempre informado y recomendable Brian Krebs: Who’s Behind Wednesday’s Epic Twitter Hack?. El resumen rápido:

  • La «instrusión» y los mensajes se enviaron a las 21.00 (GMT), el primero desde la cuenta de Binance, un sitio de criptodivisas. Luego se concentraron en unas 130 cuentas, de las que sólo pudieron enviar mensajes con algunas.
  • Como las transacciones de bitcoins son públicas, puede verse el el libro de registro que en las primeras 24 horas la cuenta que perpetró la estafa recibió 383 transacciones de bitcoins por valor de 13 bitcoins (unos 103.000 euros).
  • Twitter confirmó al poco que el ataque utilizó ingeniería social contra algunos de los empleados para acceder a sistemas internos.

En el artículo hay muchos más detalles sobre los posibles atacantes (expertos en SIM swapping o «clonado de SIMs»); cómo en el mercado negro se vendía la posibilidad de «cambiar el correo de cualquier cuenta de Twitter» para luego atacarla desactivando la autenticación de dos factores y cambiando la contraseña; y cómo las cuentas OG de «pioneros» (las de una o dos letras, como la de nuestro amigo @sd) son las más codiciadas. Uno de los mencionados como candidatos a ser el autor es un inglés de Liverpool apodado PlugWalkJoe que ya hackeó la cuenta de Jack Dorsey el año pasado con un «clonado de SIM» y que curiosamente podría estar en España.

¿Qué nos ha enseñado todo esto?

  • A pesar de que estamos en el siglo XXI y todo el mundo maneja apps, redes sociales y criptodivisas –que no es fácil– todavía hay quien cae en timos como el de la estampita y en que Bill Gates o Jeff Bezos les va a regalar dinero. ¡Por favor! Hay que estar más vivo.
  • La seguridad de Twitter es más que cuestionable. Este incidente no es el primero, tal y como cuentan en CyberSecurityPulse de Eleven Paths. Cuando se analice cómo ha ocurrido todo exactamente puede que sepamos si había empleados implicados (una táctica típica es sobornarlos o chantajearlos) y sobre todo cómo es posible que a alguien responsable de la seguridad de millones de cuentas se le engañe con ingeniería social, el más viejo de los trucos del hacking/cracking. Como decía Kevin Mitnick, «a alguien en Twitter le vendría bien un poco entrenamiento sobre concienciación en cuestiones de seguridad para mitigar futuros ataques». Enrique Dans lo considera un desastre y una irresponsabilidad inaceptable.
  • Twitter dice que cree que no pudieron a acceder a las contraseñas de las cuentas, lo cual probablemente es cierto porque no suele ser fácil y se guardan encriptadas. Pero tampoco está claro cómo pudieron hackear la cuenta de alguien con acceso a un «panel de administración» relativamente poderoso sin vulnerar su 2FA (autenticación de dos factores).

Todavía hay muchas incógnitas: ¿Pudieron los atacantes acceder a más información personal de las cuentas, como los números de teléfono o los mensajes directos? ¿Por qué no usaron otras cuentas de famosos para hacer más masiva la estafa? ¿Los atacantes eran profesionales organizados o meros aficionados? ¿Pudo la estafa en bitcoins ser un encubrimiento de algo peor, como acceder a los mensajes directos de esas cuentas? ¿Qué hubiera pasado si hackean a los presidentes de los países y montan un conflicto a nivel mundial? Dicen que el FBI ya está investigando el asunto y Twitter va dando a conocer a cuentagotas algunos detalles, junto con el clásico «Lo sentimos mucho. Nos hemos he equivocado y ya estamos tomando medidas para que no vuelva a ocurrir.»

Actualización (18 de julio de 2020) – Hay un buen artículo sobre los crackers, la gente de Twittery el incidente en The New York Times ($): Hackers Tell the Story of the Twitter Attack From the Inside. También se ha publicado ya la versión larga de la explicación de Twitter, An update on our security incident, con algunos datos relevantes:

  • El ataque iba dirigido a cuentas, de las que consiguieron cambiar la contraseña de 45 y tuitear con ellas.
  • También descargaron los «datos de tu Twitter», que es como se llama todo el contenido histórico asociado a una cuenta de Twitter, incluyendo mensajes directos, bloqueos, libreta de direcciones… Esto lo hicieron con 8 cuentas en total. Eran cuentas «no verificadas», así que quizá no de las más relevantes, sino de las de «nombres cortos».
  • Intentaron vender algunas de las cuentas con nombres cortos.
  • La cartera de bitcoin principal utilizada recibió en un par de días cerca de 400 transacciones por valor de unos 12,8 bitcoin; las secundarias unas 100 transacciones y unos 2 bitcoins más. Información en Coindesk y seguimiento en Chainalysis.

Actualización (1 de agosto de 2020) – Es sabido que el crimen no compensa, y en este caso parece que tampoco. The Verge cuenta que los supuestos crackers ya han sido detenidos: Three people have been charged for Twitter’s huge hack, and a Florida teen is in jail. Ninguno trabajaba para Twitter pero uno de ellos se hacía pasar por empleado. El más joven tenía 17 años.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD




PUBLICIDAD


Microsiervos Selección


New Hacker’s Dictionary

EUR 35,52 (Reseña en Microsiervos)

Comprar


La criptografía

EUR 11,40 (Reseña en Microsiervos)

Comprar


Amazon Associates

Los productos aquí enlazados están a la venta en Amazon. Incluyen un código de Afiliado Amazon Associates que nos cede un pequeño porcentaje de las ventas. Los productos están seleccionados por los autores del blog, pero ni Amazon ni los editores de los libros o fabricantes de los productos participan en dicha selección.

Más libros y productos en:

Microsiervos Selección