Todo tiene un momento y un lugar, cuando todo se alinea da lugar a grandes cosas...



El domingo 11 de Febrero rendí el examen de eCPPT, terminando el mismo el Domingo 18 dura un total de 7 días el examen ya que es la realización de un pentesting, despues toca otros 7 días para la elaboración del informe con los resultados obtenidos del test de intrusción, la experiencia que viví y pase fue única en todo sentido, ya que conocí mis fortalezas como tambien, mis debilidades lo cual en una próxima entrada con la review respectiva la llegaré a  compartir en el blog. (Cuento toda la chacha para que se comprenda y entienda...)

Por cuestiones del multiverso informático llevo ya 7 días con un resfrio fatal, que en medio del examen me pillo, realicé lo que debi de realizar y donde logre llegar, me encontraba en casa rindiendo la evaluación recibí el apoyo de RizelTane gracias por las porras. Al rendir la evaluación noté que ya no se puede hacer las cosas como antes, el estar 24x7 por 2 días ya me toma factura o el estar al 100% metido, con ello también medí mi nivel de estres para el próximo TARGET, después de rendir el examen y volver al refrigerador me puse en mente estar totalmente enfocado en el laburo debido a que me dierón el tiempo necesario para rendir el examen, dar las gracias desde este rincón a DL, al estar enfocado en el laburo y hasta el momento de escribir esta entrada en el blog, no vi para nada de nuevo el examen, debido al cansanció físico, sumando el catarro no me daría lo suficiente para estar dando el 100% en lo que corresponde y lo primordial estos dias fue mi trabajo, donde aprendo a diario con ello. 

Así que despues del examen me senti abrumado  perdido cansado dí lo mejor y aun me falta por terminar el reporte, el cual  lo realizaré el viernes por la noche y pulirlo el Sabado para que el mismo sea enviado y revisado, posterior a ello toca esperar y ver la respuesta estaremos informando en el Blog sobre los detalles respectivos, cada X tiempo que muchas veces es anual, me da un resfrio fatal como el que acaba de estar pasando y me toca estar hasta 2 semanas con el, las cosas pasan y llego al punto de determinar si todo lo que voy haciendo a diario dando lo mejor vale o valdrá la pena a futuro me da un lapsus emocional en el cual no encuentro motivación para seguir con lo que me llena  mis días de Hacking y lo cual me da a dejar de lado el blog, y enfocarme unicamente al trabajo hacerlo bien como corresponde y olvidarme de aprender.....



Pero en momentos como este, las cosas se dan para algo mejor y en esta oportunidad tiene que ver con un video de LiveOverflow el cual es un canal que recomiendo bastante visitar, que fue la chispa para seguir y darle continuidad ahora que escribo esta entrada descansando, se que mañana Jueves ire al trabajo a dar lo mejor de mi y el  fin de semana dedicarle al reporte para que todo siga su flujo.


No es lo que tienes o quién eres o dónde estás o qué haces lo que te hace feliz o infeliz. Es lo que piensas sobre ello -
Dale Carnegie

SniferL4bs y DameunaShell seguirá como siempre nos vemos la próxima semana...

Regards,
Snifer

Leer Mas
Un libro CheatSheet creado por @Brutelogic  Rodolfo Assis en el cual nos brinda una ayuda sobre los diferentes payloads referentes a lo que es un XSS - Cross Site Scripting esta bien para tenerlo ahí disponible a mano cuando realicemos alguna prueba de un aplicativo o para ir aprendiendo  y mejorando sobre la marcha. 

https://pbs.twimg.com/media/DUvF_IyWkAAcOH-.jpg



Vale la pena resaltar que el mismo es tolamente gratuito así que aprovechar la información

"Un libro debe ser el hacha que rompa el mar helado que hay dentro de nosotros". Franz Kafka,

Regards,
Snifer
Leer Mas
Muchas veces identificamos algun  módulo nuevo para metasploit o bien tendemos a realizar alguna prueba generando nuestro propio pequeño script que por cierto ellos son realizados en Ruby y si deseas aprender un poco de ello tienes en el blog #RubyFu: La guia de inicio para el Hacking con Ruby.



Con todo ello veremos como "instalar" configurar uno nuevo, asi que no desesperen que esta entrada es un TIP, recordatorio para la instalación de nuevos scripts en este caso el que se realiza la instalación es de psexec_scanner un módulo de DarkOperator en un próximo post iremos explicando cual es el funcionamiento y como se llega a utilizar.

Primero tenemos que dirigirnos al directorio .msf4 que esta en el directorio principal, despues de ello creamos las carpetas como  corresponde si es un auxiliar, encoder, exploit, post explotación o nop considerando ello y la ubicación que deseemos vamos creando los mismo en este caso se crea en auxiliar el scanner y el folder de smb.

mkdir -p ~/.msf4/modules/auxiliary/scanner/smb/
cd ~/.msf4/modules/auxiliary/scanner/smb/ 

Para despues de ello proceder a descargar ya sea por medio de la terminal o directamente de forma gráfica.

wget https://raw.githubusercontent.com/darkoperator/Meterpreter-Scripts/master/auxiliary/scanner/smb/psexec_scanner.rb 



Una vez lo tenemos en el directorio solo basta con llamar con el comando use adicionando el directorio respectivo en este ejemplo al tener a psexec_scanner  y tenemos el módulo en este caso funcionando.
 

Ahora en el caso de que no llegue a identificar o realicemos despues de iniciar metasploit ejecutamos el comando reload_all lo cual realizar una carga de los módulos nuevamente, teniendo ya disponible el 2sript, modulo, auxiliar" configurado previamente.
 

La localización del directorio es la mas recomendable por la guia de Metasploit ya que son scripts de prueba, y llegan a estar ubicados en el mismo, ahora donde se encuentra instalado y todo el background de Metasploit, es en el siguiente directorio.

snifer@root:# usr/share/metasploit-framework/modules/exploits/ 


Sucede el mismo proceso para instalar un plugin por ejemplo Pentest  que deberia de ir en el directorio .msf4/plugins/  si lo ven necesario en los comentarios de armar otra entrada o mejorar esta referrente a la instalación de los Plugins no duden en comentarlo.

Se tuvo en el canal de Telegram  HackySec una encuesta sobre que temas abordar en el blog, y ganarón Nmap y Metasploit así que esto veremos en una mayor cantidad durante el mes de Febrero.

"Me sostengo por la tranquilidad de un corazón recto y leal." -Peter Stuyvesant.


Regards,
Snifer
Leer Mas
Volvemos con otro reto en el blog, siguiendo la temática de Mr Robot por si deseas conocer y ver los anteriores retos tienen en el siguiente enlace Retos de Snifer@L4b's. y ahora venimos con este nuevo, recuerden que esta en la temática de MR Robot ;).


Se identifico el siguiente QR Code de AllSafe en un dispositivo USB el cual necesita de tus conocimientos para identificar el mensaje.
Se irán dando pistas a partir de hoy Viernes a las 00:00 Horas por Telegram en el canal del blog como  bajo el HashTag #AllSafeMrRobot, la resolución del mismo se dara a conocer en Marzo o bien hasta que alguien lo resuelva, recuerda si lo haces y gustas compartir como lo resolviste apoya al blog!

Una Cosa Es Cuestionar Tu Mente Y Otra Es Cuestionar Tus Ojos Y Oídos. ¿Pero Acaso No Es Lo Mismo?
Creditos a Boddby por el FanArt


Regards,
Snifer
Leer Mas
Probablemente muchos conocen la aplicación (app) SOSAFE (https://www.sosafeapp.com) y quizás muchos la ocupan y la tienen instalada en sus smartphones y esto se debe a la gran cobertura que tuvo el lanzamiento de la app y también a las muchas polémicas que han surgido en torno al uso y objetivo de la misma.


Figura 1: Logo de SOSAFE

Sin embargo, para los que no la conocen es la aplicación más descargada en el país, con más de 5 millones de usuarios (casi un tercio de todos los chilenos), el desarrollo y lanzamiento de esta app se enmarcó en el programa Cascos Históricos y Centros Cívicos, financiado por la Subsecretaría de Prevención del Delito del gobierno de Chile.

¿Para que sirve?, principalmente para Reportar, alguna situación de riesgo que necesite ser informada, seleccionando el tipo de incidente, se puede describir la situación, sacar una foto y la municipalidad y los vecinos más cercanos serán notificados. Tiene un Botón de Pánico y ante una emergencia, presionando el botón la municipalidad será notificada inmediatamente y se pondrán en contacto.

Vale la pena mencionar que el nivel de seguridad en las aplicaciones móviles es muy similar al que tenían las aplicaciones web hace 15 años atrás, con esto quiero decir que no hay mucha cultura respecto aplicar buenas prácticas de seguridad en la codificación y configuración de las app, la mayoría tienen vulnerabilidades, pero la gran diferencia es la criticidad de la vulnerabilidad, hay desde las informativas, donde muchas veces no es necesario hacer nada, hasta las críticas, que pueden exponer información confidencial o privada y/o cambiar la configuración del smartphone, de hecho se han vuelto tan populares, que incluso OWASP tiene su propio ranking de las vulnerabilidades top 10 de móviles (https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10).



Figura 2: Top 10 Owasp Mobile

Por estas razones fue que en el Centro de Excelencia (CoE por sus siglas en ingles) de Dreamlab Technologies (https://dreamlab.net) decidimos analizar la app para conocer su nivel de seguridad, ¿qué encontramos? Lo detallamos a continuación.

¿Es Segura?


Lamentablemente no, todas las vulnerabilidades que a continuación exponemos fueron reportadas responsable y confidencialmente hace más de 90 días al Equipo del Centro de Respuestas a Incidentes de Seguridad CSIRT (por sus siglas en ingles) del Ministerio del Interior (https://www.csirt.gob.cl).

Se detectaron varias vulnerabilidades críticas en la app, pero nos concentramos en la que expone información de los usuarios, que incluye datos personales privados, como nombre, apellido, correo electrónico y ubicación exacta de la persona a través del GPS.

Detalle de la Vulnerabilidad

Haciendo análisis del tráfico de la app se pudo detectar que la comunicación se realiza en texto claro mediante el protocolo HTTP y no HTTPS (cifrado), sin embargo, algunos de los datos si van cifrados en la capa aplicativa, pero se puede conocer la llave como se describe en el siguiente párrafo. http://api.sosafe.cl.

En el ingreso a la app en el login o ingreso, debido a que los datos se envían sin cifrar se puede observar que el ingreso se realiza utilizando como único factor de autenticación la combinación de correo electrónico + identificador generado por la app al endpoint (smartphone del usuario). Esto permite a una persona mal intencionada posicionada entre la app y el usuario como “hombre en el medio o MiTM” obtener dichos datos e impersonar al usuario. La comunicación posterior al ingreso utiliza el mismo canal sin cifrar, algunos mensajes incluyen en el cuerpo de la respuesta datos codificados en base64 con contenido encriptado con el algoritmo AES, modo CBC. Pero, la llave se deriva de constantes encontradas en el código y de el identificador del aplicativo y es fácil de encontrar por un atacante, debido a que el código es accesible ya que la app no cuenta con ningún tipo de protección contra ejecución de usuario con privilegios de administrador o root o decompilacion.
 
Figura 2: Parte del código de la app donde se encuentra la llave

La app obtiene los reportes desde el servidor mediante un json (acrónimo de JavaScript Object Notation, es un formato de texto ligero para el intercambio de datos) codificado, pero utilizando las llaves para decodificarlo o mediante un análisis dinámico en operación adjuntándose las funciones decrypt2 y encrypt de la clase cl.sosafe.panicbuttonandroid.app.bl.util.Mcrypt se pueden obtener los datos en claro, los cuales incluyen datos personales privados como nombres, email y ubicación exacta, aunque el reporte haya sido anónimo.

 
Figura 4: Json decodificado en claro con datos personales privados

Esta semana descubrimos que, gracias a la vulnerabilidad, también se puede impersonar a los usuarios y cambiar de manera no autorizada los datos del usuario (nombre, dirección, email, etc.) y escribir un reporte/incidente a nombre de otro usuario. A continuación, se demuestra en la foto, donde se puede observar una prueba que realizamos desde Suiza en mi perfil de SOSAFE (Yo no escribí ese reporte)


Figura 5: Reporte realizado de manera no autorizada

Al día de hoy los permisos excesivos y vulnerabilidades se mantienen en la app, por lo tanto, se da la paradoja de que la app más popular de chile y que se ha convertido en un gran servicio municipal y que al día de hoy es la batiseñal digital contra la delincuencia, es insegura y expone datos personales de sus usuarios incumpliendo lo dispuesto en la ley 19628 sobre protección y almacenamiento de datos personales.

Gabriel Bergel
CSO
Dreamlab Technologies
Leer Mas