13/7/12

¡Estamos de mudanza!

Imagen propiedad de:
Teresa Cebrían
Buenos días a todos aquellos, que les ha tocado levantarse temprano. Al resto, sólo les dedicaré un simple "hola", y un poco de lejos -pero por envidia, no por otra cosa-. A pesar del título realmente, he finalizado ya la mudanza, y estoy en proceso de instalación.

He colocado la tv plana en el salón, y os he dejado la ventana abierta para que podáis disfrutar de los canales de: Seguridad informática

Dar las gracias a la gente que hace posible el proyecto ITPro, por dejarme estar con ellos. Os recomiendo dar una vuelta por los blogs que tienen mis compañeros, ya que son magníficos. Y no olvides, pasarte por la cuenta que tienen en twitter: @EsITPro

¡Nos vemos! -Siempre y cuando mi equipo, continúe estando loco!

Ya sabeis nos vemos por aquí: Mi equipo está loco
¡No lo olvides! ¡Hay que actualizar la url en el RSS!

16/6/12

Cansado de cambiar mi password ¿Y tu?

Me apresuro a pensar que muchos están en la misma situación. Cada vez que se filtran los passwords, ya sea en claro, o tan sólo los hash (las contraseñas, pero cifradas). Nos ponemos como locos a cambiar nuestra contraseña. ¿Pero hasta cuando? ¡Basta ya!

Ayer, estaba pensando en renovar mi teléfono móvil, algún modelo relativamente “barato”, con más potencia que el que estoy utilizando actualmente. Así que terminé en la conocida tienda “The phone house”. Al ser una “gran compañía”, eso me aporta un valor en seguridad.

Como tengo menos cabeza que un pez muerto, tras probar 25 contraseñas, dije la cambio y ya está, una nueva contraseña. Total, en ocasiones sé que me creo una contraseña al azar para los sitios, y obviamente luego no la recuerdo. Las utilizo para sitios que realmente “no voy a volver”. Son por así decirlo, de usar y tirar.

Los pasos para “cambiar” la contraseña, son relativamente simples. Te piden la dirección de correo que has utilizado, y te llega a esa misma dirección tu contraseña, en texto plano. ¡Estupendo!


Se puede apreciar, que el proceso es fácil, sencillo, y mal configurado. Ya que por norma, tienen que tener la contraseña cifrada. Esto, es lo mínimo que les obliga la ley -si no estoy mal informado-. Supongo que aplicando un XOR 23, a cada carácter, ya cumplirían y ciertamente, para mi sería una mierda. pero… No hacen ni eso. Creo que alguien debería estipular que se utilicen en todas las bases de datos un salt, que sea relativamente diferente y complejo. Y ya que pido, evitar el uso de MD5. Ya deberíamos estar todos migrados a SHA1.

Como de teoría legal, no tengo mucha idea, un post de un compañero de seguridad dicta lo siguiente:

[RDLOPD] Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Texto superior copiado de: SecurityAtWork

Con este texto en la mano, sólo puedo aportar que las cosas no se están haciendo bien. No están pensando en mi seguridad. No quiero pensar de que forma pueden estar guardados mis documentos bancarios, si tratan así información tan sensible y personal como lo es mi contraseña.

PD: Por si alguien quiere quedar como el chico bueno de la película, no he reportado nada de esto. Como alguno no estará de acuerdo. Tengo una política un poco personal. Como eso de estar siempre trabajando gratis para otros. Si se les regala la información, no contratan a un compañero que realice una auditoria de verdad y/o encima estoy bajando el precio –ya que lo doy gratis, y “sin valor”-

7/6/12

Mi seguridad ¿En manos de quién?


Al igual que ocurría con la canción de Carlos Baute, creo que la seguridad está colgando en tus manos. Otra vez, han sido publicadas una serie de contraseñas. Esta vez, el afectado ha sido “Linkedin”.


Seguramente alguno más es un paranoico de la seguridad, en caso contrario, no estaríamos todo el día refrescando Google reader. ;) El problema llega cuando el nudo de seguridad –la línea de vida en escalada- no depende de ti, y tienes que confiar en un tercero. ¿Tus datos están seguros? ¿ Confías plenamente en ese tercero?

Da exactamente igual el tipo de contraseña que estés utilizando, ya puede ser la más compleja del mundo. Olvídate de reutilizarla en ningún otro servicio. Muchos de los que utilizas de forma habitual, guardan aún las contraseñas utilizando métodos inseguros, o ineficientes. Por lo que incluso una contraseña compleja, puede ser una potencial victima. -¡¡Desaconsejo totalmente el uso de contraseñas débiles, con la excusa!!-

Lleva más de un año funcionando aplicaciones como PastebinLeaks, encargadas de buscar, al igual que la araña de Google, cualquier tipo de filtración que pueda producirse en esta red. En ocasiones podremos encontrar datos recopilados de “Bots, virus, keyloggers”, pero también de muchas páginas web. También han publicado la herramienta: Pastemon. Con el mismo propósito que la anterior.

En los últimos meses por citar algunos ejemplos hemos visto leaks de:

-Twitter 55.000 cuentas -según he leído, no fue su culpa-
-Linkedin 6.5 Millones
-Rootkit.com 81.430 cuentas
-Sony 37.572 cuentas

¿Y tu como defiendes tus contraseñas?

Nota: No quiero ahora generar un campo de desconfianza, e inseguridad, cientos de páginas web, tratan con la mayor seguridad tus datos, ya sean contraseñas o datos personales. Pero lo malo, siempre nos llama más la atención.

1/6/12

Escribir por amor al arte

Los que me conocen, y saben que tengo un blog. Saben que esto lo llevo por amor propio, ego, seguramente alguna carencia de afecto, pero realmente el punto máximo, era poder salir en la Wikipedia. Pero no sólo eso. ¡Quería ser reconocido como investigador de seguridad informática!  Supongo que ahora podré dejar de escribir en el blog, y creo que me pondré al noble arte de cultivar bonsais.

Fuera de bromas, como todo el mundo que escribe en blogs, esto lo hago por la fama, el dinero, las mujeres, e indiscutiblemente la cantidad ingente de cervezas que permite consumir cuando quedas con alguien del gremio. En última instancia ya está eso, de aprovechar la ventana de: "Mira que bueno soy, y deberías contratarme", el problema es hacer demasiado hincapié en el tema de las cervezas... Tras 2 entrevistas infructuosas -eso de decirle al entrevistador: ¿Por que no hacemos la entrevista en el bar? Yo es que sin alcohol, no soy tan sincero...-

En resumen, que para ello quería una entrada cortita, es que algún alma caritativa, ha considerado que debe existir una referencia hacía mi en la Wikipedia en ingles. ¡Y puedo prometer que no he sido yo! ¡Enserio! -Vale, tuve que pagar a 5 personas para que lo hiciese, pero... yo no fui-  Y como es obvio tras ver la entrada, me he puesto muy contento. A pesar de ser sólo una reseña.

Así que muchas gracias a los que entran a investigar como pueden cotillear el móvil de su novia -sí, muchos hacéis esa búsqueda en google, que os tengo controlados!-, a los que entran de forma voluntaria al blog, y a los que de verdad saben de informática, entran al blog, -y salen decepcionados al ver OTRA entrada que no trata de seguridad informática-, y muchos besos y abrazos al que me ha metido 18 palabras en la Wiki

NOTA: Presumo mucho con la tontería del alcohol, pero... soy abstemio, así que si pensabas tratar de invitarme a algo, tendrá que ser coca-cola... ¡Es que no me gusta el sabor del alcohol, soy un friki de libro!

21/5/12

¿Cómo funciona una aplicación para mirar bajo los asteriscos (*)?

Quizá alguna vez te has hecho esta pregunta. Escribes tú contraseña, y se oculta de la vista, bajo una serie de caracteres, el estándar es el asterisco, pero podrá ser otro. Lo curioso es que hay programas que sí que son capaces de ver bajo ellos. ¿Por qué?

Realmente, donde estas escribiendo es una caja de textos, normal y corriente, con una propiedad, que es no mostrar el texto, para evitar que si tienes a tu primo encima del hombro, no tenga ni idea de que estas poniendo. Sin embargo, hay formas de conocer que has escrito, sin utilizar un keylogger, simplemente pidiéndole al programa que lo muestre.

Quizá, nunca has visto como se comunican las aplicaciones entre ellas, por lo que trataré de explicarlo. Tenemos una aplicación A que es un login, y nos permite acceder, y una aplicación B, que se encarga de leer bajo los asteriscos. Las conversación es así:

4/5/12

Redirector de puertos (Alpha)

Tenía muchas ganas de poder publicar una versión bastante funcional de esta aplicación. Me ha llevado un par de semanas llegar a completarla. Me gustaría ir poquito a poquito, añadiendo funciones.

Tal y como he querido dejar patente, en la aplicación y en el título, es una versión alpha, es decir, una versión, casi, casi, funcional, que se parece a la que será publicada, pero tan llena de fallos por todas partes que parece diseñada por un niño de 5 años. Los que encontréis, los iré arreglando, pero ya aviso que viene con desperfectos.

¿Qué es un redirector de puertos?
Una aplicación destinada a reenviar el tráfico desde un puerto A a un puerto B, lo normal es que en el puerto B, tengamos otro programa escuchando.

¿En que se diferencia este programa a un bouncer* normal?
He realizado una aplicación capaz de detectar la dirección ip de origen, y en base a una serie de reglas, determinar si permite pasar el tráfico, o en su defecto (por norma), deniega el acceso.
Está basado en listas blancas. Esto, quiere decir, que su forma de trabajar es denegar el acceso a todo lo que no este permitido.



¿Para que es útil este programa?
Es una aplicación destinada a trabajar con un firewall, un antivirus, sandboxie :P. Y finalmente un programa del tipo servidor. Ej:
Tenemos el puerto 1600 abierto en nuestro router. Y queremos poder acceder desde fuera, nuestro móvil, nuestro trabajo, etc a escritorio remoto (3389). Lógicamente, debemos saber que ip tendrá nuestro teléfono móvil, o la ip externa de nuestro trabajo.
Es el momento de redirigir el tráfico:
1600 -> Verifica ip -> 3389 ¡Acceso a escritorio remoto!

Descarga: http://goo.gl/9Nu4h

27/4/12

Tomando cañas


Hay una canción, no es que me guste especialmente, pero que explica perfectamente por que parece que este blog está un poco desatendido. Marcas de polvo encima de las letras, una araña en la esquina superior izquierda. La pobre, lo está pasando mal, no entran muchos mosquitos y pasa un poco de hambre.

A lo que vamos, “no estaba muerto… no estaba muerto… ¡Estaba de parranda! Lo ví con mi amigo Paco, tomando cañas en la cruz blanca…” Más o menos es así, no exactamente tomando cañas, si no haciendo algún que otro programita, que espero poder publicar por aquí.

Lo más relevante esta semana, es que ahora también me podréis leer en: HackPlayers. Me ofrecieron un bocata de mortadela cada 2 post, como me gusta hacerme el difícil, la negociación ha terminado en 1 bocata cada 2 post, ¡Pero la mortadela con aceitunas! A otro le podrán engañar, pero menudo soy yo, cuando tengo que negociar…

Por el momento en hackplayers me vais a poder leer hablando de:
Como muchos ya se han dado cuenta, esto corresponde a mi primer bocata! Que por supuesto compartiré con la araña de líneas más arriba.

 Como decía, estoy haciendo diferentes programas que espero puedan ver la luz por el blog. La lista es la siguiente:


  • Un fuzzer de red.
  • Un bouncer con filtro por ip. Basado en lista blanca.



Mientras tanto, continuaré escribiendo en hackplayers.



26/3/12

¿Como es un joiner? ¿Para que es? y más...


Otra revisión hacia el mundo del malware. Ampliando la información.

¿Qué es un joiner?
Es un programa encargado de albergar uno o varios ficheros en su interior. Es decir, tenemos por ejemplo 3 ficheros. Un joiner, se encargaría de juntarlos en 1 solo fichero.

Lo más habitual es que no efectúe modificación sobre el fichero final. Si adjuntamos una foto y un bichito (virus). Cuando termine de trabajar el joiner, prácticamente siempre el antivirus detectará el fichero que se ha copiado.

Suele utilizar sistemas de cifrado, ya sea algo complejo o simple, para ocultar la información que le hemos añadido. Como siempre esto depende de quien lo este programando.

Imagen de un joiner subido a indetectables.net

Inclusive es bueno recordar, que no tiene por que tener un fin maligno, como muestra el propio Windows, de serie, trae su propio joiner. Link

¿Para que nos sirve?
Suele ser muy utilizado en el mundo del malware. De forma que podríamos juntar una imagen, un archivo de sonido,y un ejecutable. Irremediablemente el archivo final, tendrá que ser un ejecutable*, pero aparentemente estará limpio.

No obstante, no siempre se utiliza para el mal. Otro ejemplo rápido, sería un instalador de aplicaciones, contiene todas las carpetas, y librerías que utilizará el programa final. Y el resultado es sólo un fichero.

¿Hay tipos?
-Un instalador de software.
-Un ocultador de malware.
-Una juntador de peliculas o videos.
-Winrar tambien es un joiner. Convierte varios ficheros en 1.
-Una aplicación que permite juntar trozos de canciones y hacerla 1 solo fichero mp3.
-En resumen. Cualquier aplicación capaz de convertir varios ficheros en 1.

¿Como funciona?
Existen varias formas de hacerlo funcionar pondré 2 a modo ejemplo, si bien pueden ser muchas más, ya dependerá del programador en cuestión:
-Guardando todos los ficheros en un recurso del programa, los almacena ahí y luego una secuencia designa en que lugar copiarlos/ejecutarlos/etc.

-Guardando los datos en el EOF (Zona que se encuentra al final de un ejecutable, y que no afecta al funcionamiento del mismo). Posteriormente una función se encargaría de detectar la cantidad de ficheros adjuntados, prepararlos y copiarlos.
¿Puedes ser más técnico?
Sí. Puedo. ¿Siguiente pregunta?
Una imagen vale más que 1000 palabras. Explicaré el segundo método, debido a que es más simple de dibujar.

El final de un fichero, se puede modificar y almacenar, o esconder ahí información. Es el sistema que se suele utilizar, y el programa iniciar o joiner no se verá afectado.
Al igual que vimos en un crypter, un joiner tambien suele disponer de un stub. Este es el que se encarga de detectar la información adicional. No explicaré como realizarlo debido a que hay mucha información.

El joiner pregunta que ficheros debe adjuntar, el orden en que se copiaran / ejecutaran, etc. Una vez determinado. Edita el stub, y le añade al final todos y cada uno de los ficheros. Con una marca para separarlos ej: *FiN*. O sin marca, todo dependerá del programador. La marca se podría aprovechar para indicar que tiene que hacer el joiner. *Ejecutar*copiar*borrar*etc Podría ser una marca perfectamente, que también daría información sobre que acción realizará el joiner.

El stub... Un poco más a fondo.
Un joiner no destinado a aplicaciones

Revisará que información se le ha añadido. Y que debe realizar con esos ficheros. Realmente aquí, el fin lo pone la imaginación. Ya que es a gusto del consumidor las acciones que podrá realizar. Por poner algunos ejemplos:
-Ejecutar alguno de los ficheros anexos (ejecución estándar, no sobre memoria).
-Copiar los ficheros. Para sobrescribir algún fichero de sistema por ej.
-Podría detectar el sistema operativo, el antivirus, y en función de eso, ejecutar un fichero u otro.
-Se le podría añadir una función de descifrar, para poderle adjuntar los ficheros cifrados, y complicar un poquito el análisis.

*También podría ser un zip, rar,mp3,avi, etc, pero no quería extenderme demasiado. Y me enfoco a joiners del tipo software.

NOTA IMPORTANTE: Toda esta información es para aquellos que os dedicáis al análisis, detección, programación, por hobby o por trabajo. Nunca deberá ser utilizada para cometer maldades... Sobra recordar que ir infectando máquinas por ahí es un delito y tiene penas de prisión.

5/3/12

Hacking para tu novia (I)

Tengo intención de hacer una serie de artículos sobre seguridad informática, orientados a explicar y hacer entender a la gente de mi alrededor algunos conceptos. Serán varios, para no agobiar y seguramente, me tome varias licencias.

Estoy seguro que tanto a tí, como a mi, nos cuesta una barbaridad, explicar que es un ataque MitM, un envenenamiento del dhcp, dns, etc. En mi caso, me suelen mirar con la misma cara que pone mi perro, me escuchan, y parece que me entienden, pero sólo están pensando que estoy loco y que mi hobby, es demasiado raro.

¿A alguien más le han mirado raro cuando ha dicho que quiere comprarse: Rasberry pi? Tras mi explicación de que lo quería para tener un nuevo juguete con el que cacharrear, y divertirme un rato, las miradas de extrañeza pasaron a ser de aceptación.

Conceptos:

Ataque DoS (o "Ddos"): Pongámonos en situación. Un día sales de marcha con varias amigas. Y un tipo galán*, se acerca a invitar a alguna de ellas a tomar una ronda de chupitos. La cosa avanza, y ya son 6 rondas. Tú amiga comienza a no enterarse de nada de lo que ocurre, sólo es capaz de balbucear. Al terminar la noche, te toca arrastrarla hasta su casa. Está completamente K.O, no responde a nada. ¡Perfecto! Ese galán, ha efectuado ¡un ataque DoS a tú amiga! (Explicación Técnica)

Ataque MitM: De nuevo, sales con las amigas a cenar, el galán ya es familiar, y está cenando con vosotras. Se le ocurre hacer un chiste o broma. Sentado en medio de tú amiga y tú. Lógico, ¡está ligando con ella! Le pides amablemente que te pase el ketchup, y él le dice a tú amiga que por favor te pase la salsa más picante de toda la mesa. Le pasa el bote y él te lo entrega. Minutos después te está picando la garganta y estas maldiciendo la broma. ¡Te han hecho un ataque de Man in the middle! (Explicación Técnica)



Ataque MitM V2: En la misma cena, le indicas al galán que le pida a tú amiga el mechero. ¡No es bueno fumar! ¡y ahora jamás deberías hacerlo en un restaurante, por favor! Nuestro amigo, quiere enseñar su flamante mechero de broma, por lo que finge decirle algo, y finalmente te entrega su mechero trucado. Cuando tratas de encenderte el cigarro, un chorro de agua directo a tú cara. ¡Otro ataque MitM!



DHCP falso /Injector / etc: Todos sabemos, como os gusta a las chicas la ropita, y la de veces que os cambiáis. Tú amiga, y el galán (un tipo con una chispa formidable). Están en tú casa, han venido a buscarte. Estas preguntado que vestido deberías ponerte. ¿El rojo con escote, o el negro formal? El galan, se ha comprado en DealExtreme, un modulador de voz, como los de las películas. Y poniéndole enfrente de su boca. Sus palabras suenan como las de tú amiga. Antes de que ella pueda responder, el galán, utilizando el cachivache dice: ¡El rojo! Ese te quedará genial. Y tú, pensando que la respuesta ha sido de tú amiga, sales con el vestido escotado el resto de la noche. Lo siento. ¡Has sufrido un ataque de DHCP falso! (Explicación Tecnica)


Envenenamiento ARP: Realmente crees, que el galán es un imbécil. Y ya te aseguras de que todo lo que haces, se lo dices directamente a tú amiga. Pero has perdido el móvil. Y no tienes tú agenda, pero quieres hablar con tú amiga, curiosamente te encuentras con su chico. Nuestro galán. Y te ofrece de forma gratuita darte el número de teléfono de tú amiga, para que podáis quedar. ¡Qué majo! ¡Al final, no va a ser tan gilipollas! Anotas el número, y en casa decides llamar: -Zoo de Madrid. ¿Dígame? (Explicación Técnica)

*No me responsabilizo de las acciones efectuadas por el galán :P. Y no tengo relación alguna con él.

PD: Hay mucha licencia. Acepto ideas y modificaciones / Mejoras o incluso una 2ª versión de los ataques :D.

2/3/12

WhatSniff 1.2 (Estable)



Aprovechando un post de Security By Default, he actualizado la tool. Con las mejoras que trae WhatsPcap.

El visor de estatus aparece haciendo click derecho tanto en el form, como en la zona izquierda. Donde aparecen los números de teléfonos.

Para muestra un botón


Si tienes dudas de como utilizarlo "Manual versión anterior"
Un videotutorial. Muchas gracias por la relaización del mismo: Videotutorial

Esta nueva versión tiene:
-Lectura de mensajes enviados desde whatsapp.
-Lectura de mensajes recibidos desde whatsapp.
-Lectura de coordenadas enviadas y recibidas.
-Lectura de fotos, videos, etc enviado / adjuntado.
-Muestra terminales localizados en la red local, y su versión de whatsapp.
-Muestra número de teléfono del usuario de la red local. (Emisor).
-Muestra nombre de registro de whatsapp emisor.
-Localizador de estatus. El nick que se pone en whatsapp.

(YA NO FUNCIONA)- Link de descarga   (YA NO FUNCIONA)

El agradecimiento esta vez es para Alejandro Ramos, que me ha permitido utilizar el fallo descubierto por él.

Notas: Probada para localizar mensajes enviados  y recibidos desde whatsapp. Probada con números de teléfono en españa. Funciona en sistemas windows. Es posible que requiera las librerias de Visual Basic. En caso de no funcionar correctamente en Windows 7, ejecutadla como administrador.

21/2/12

WhatsPcap 1.1

WhatsPcap, analizador de paquetes offline. No siempre se puede realizar una captura en directo, este programa está ideado para leer capturas realizadas desde nuestro teléfono móvil. Concretamente adaptado para wireshark, o su versión para móviles shark. Como se utizaría lo podéis encontrar aquí.

Caracteristicas:
-Lectura de mensajes enviados desde whatsapp.
-Lectura de mensajes recibidos desde whatsapp.
-Lectura de coordenadas enviadas y recibidas.
-Lectura de fotos, videos, etc enviado / adjuntado.
-Muestra terminales localizados en la red local, y su versión de whatsapp.
-Muestra número de teléfono del usuario de la red local. (Emisor).
-Muestra nombre de registro de whatsapp emisor.
-No requiere estar funcionando mientras se realiza la captura.
-Funciona tanto con Wireshark para pc, como sus versiones en móviles.

Posibles problemas:
-Probado en españa (No he tenido oportunidad de probar con otros paises).
-Probado con Android.
-No está añadida capturar iconos. Se ven caracteres "raros".
-No tiene aún adaptada la función de grupos.

En caso de querer colaborar / o fallos que no detecte algún mensaje enviado o recibido. No dudéis en poneros en contacto conmigo. Me gustaría conocer si está funcionando correctamente en otros países. En caso contrario adaptar la aplicación.

19/2/12

WhatsPcap ¡Un sniffer, para un uso offline!

Definitivamente. ¡Mi equipo está loco! y he visto que no se puede confiar en él. Me deja tirado en los mejores momentos. Le voy a cambiar por un Ipad, que están de moda, y seguro que funciona mejor que Windows 7.

Mientras tanto, le he cogido un cariño especial a mi HTC, él sólo me deja tirado por culpa de su poca batería, y por darle mucho tute. Pero sé que cuando se apaga, realmente siente lástima por dejarme tirado, sin embargo mi equipo, sonríe con sus reinicios, y se pone a instalar muy lentamente las actualizaciones al apagar en relación a la prisa que note que tengo.

Hoy vamos a jugar un poquito con nuestro equipo portatil, nuestro móvil. Y es que intentar hackear, es divertido en cualquier situación, y un ordenador por pequeño que sea, siempre es mucho más evidente, y un pequeño lastre. Para nuestra aventura necesitamos (Poned voz de Art Attack!):
-Un móvil
-Android
-Fing (Opcional)
-Una herramienta de envenenamiento arp (Sirve, Droidsheep)
-Shark
-WhatsPcap
-Una red propia, y las medidas para hacerlo todo legal y chachi (uis, ha dicho chachi!)

La primera aplicación en encender, será fing. Un escaner de red, que me tiene enamorado. Verificamos clientes móviles, en la red. Saldrá el tipo es decir, apple, htc, bla bla bla. Este escenario, sería el adecuado, debido a que este tipo de dispositivos tendrán funcionando WhatsApp. Ya podemos cerrarla.

Seguimos con droidsheep, fácil de usar. Simplemente tenemos que activar, las 2 opciones inferiores, y la aplicación se encarga de todo. Start, y la dejamos en segundo plano. Es decir, dando a HOME. Para poder abrir nuestra última aplicación en el móvil.



Shark, es un clon, de whiresark para pc. Digo clon, salvando las distancias. Realmente me refiero a su comportamiento "base". Es decir, la captura de trafico dentro de una red. Como en el caso anterior, simplemente hay que encender dicha aplicación, presionar start y dejarla en segundo plano, en este caso, ya podemos apagar nuestra pantalla, que ellas se encargaran de seguir funcionando. Recordar que en algunos móviles, se desconecta el wifi, cuando se apaga la pantalla. Se sale de mi idea, explicar como solventarlo, pero es un fallo a tener en cuenta.



Ahora es nuestro momento, de utilizar whatsapp, en nuestro otro móvil. Podemos enviar mensajes, recibirlos. Podemos estar horas, minutos, o segundos, todo quedará reflejado en la captura que estamos realizando en el primer móvil con el que hemos trabajado. Este es el momento, de parar shark. La captura nos la ha guardado en la raiz de la tarjeta SD. Con una extensión .PCAP.

El paso más sencillo, una vez tenemos la captura en la SD y nuestro móvil conectado al ordenador, o la captura ya copiada al mismo, es encender whatspcap, localizar el fichero, y presionar Leer. En pocos segundos, tendremos un registro de toda la información capturada.


Notas de abordo:
-Espiar a la novia, a los amigos, a tu gato (en sus ratos libres hacen cosas muy raras). No es legal. No facilito herramientas con este fin, si no dar la oportunidad de cacharrear.
-Las herramientas que explico corresponden a sus autores, no tengo nada de que ver en ellas salvo en la que da título a esta entrada. Agradezco opiniones sobre nuevas herramientas.
-Un abrazo a los que me ayudan enviándome mensajes cuando hago las pruebas. Que les tengo martirizados.

3/2/12

Whatsapp Sniffer (windows)


Ya disponible la nueva versión ¡Pruébala!

Aquí os dejo un analizador de red, destinado a capturar el trafico e interpretarlo de la red Whatsapp. Requiere para poder hacerle funcionar que se instale en el equipo:
-Cain

Para poder utilizarlo, debes instalar caín, y proceder a envenar la red. Para que así, todo el trafico de red pase por el equipo que tiene el sniffer escuchando.

Manual para utlizar caín.

Una vez, tenemos todo listo. La red envenenada, para hacer un ataque Man in the middle. Abrimos el sniffer de whatsapp. He intentado hacerlo muy intuitivo, o herramienta de botón gordo. Pero hay una cosa que se deben configurar. Y es el adaptador.

Captura adaptador


Una vez seleccionado nuestro adaptador, tan sólo nos queda dar a capturar. Y veremos como se va llenando de datos.


La parte izquierda, se irá rellenado de los teléfonos que han recibido / enviado mensajes, pero NO están en la red comprometida.


La parte derecha, contiene el texto, que ha sido transmitido. Estoy depurando algún que otro error, que aparece: Ej: Acentos, símbolos y caracteres raros, y los iconos. No os molestéis, no aparecen los iconos.


En la zona inferior, aparecen los datos del equipo local, el que se encuentra en la red. Aun no he terminado, espero que en la próxima versión (Tenia ganas y prisa por publicar esta). Aparezca una correlación entre emisor y receptor. Ahora, aparece el nº remoto, y el local, en vez de salir su nº de teléfono, aparece como "usuario".


En la misma pantalla, se muestran datos del terminal. No lo he podido probar con iphone (es lo que tiene que uno es pobre). Si alguien tiene un terminal, iphone, un tablet, blackberry, etc, y quiere colaborar conmigo (es requisito, que se defienda con wireshark). Estaré encantado de analizar sus capturas, para mejorar la aplicación.


Así mismo, fallos, dudas y sugerencias, a los comentarios. Lo mismo para aquellos, que quieran colaborar con ideas, o fallos de seguridad que se puedan ir implementando en la herramienta.

Link de descarga
Link nueva versión

Y dejo para el final la parte que quizá sea la más importante, ya que la herramienta está aquí gracias a las siguientes personas / webs / y o herramientas. Podríamos llamar a esto, la bibliografía.

-P0is0n (Por que de el nacio la idea, y le copie hasta el nombre de su aplicación).
-SecurityByDefault
-Winpcap
-Vbpcap (A quienes durante días, estuve odiándoles, con cariño)
-A un tipo que creo que es italiano. Ya que he utilizado sus Módulos de clase; ClsEthernet, ClsIP, y ClsTCP. No enlazo, por que no sé, exactamente quien es.
-Api-Guide
-A Javier, por echarme una mano, con el tema legal. 

-A  todos los que les he robado un poquito de código.
-Y por supuesto a la persona que me hizo el icono (Que es una nariz de perro), sin ella, todos mis diseños serian con rosa fosforito, verde fosforito, y algún otro color a sus ojos "horrible".

PD: Se acepta poner el logo del Rooted, a cambio de una entrada para este año :P.

Un saludo,
WiNSoCk.

Nota final: Se recuerda que el secreto de las comunicaciones es un derecho fundamental de cualquier ciudadano, por tanto, el uso de esta herramienta para vulnerar dicho derecho está penado en nuestro Código Penal. No me hago responsable del uso que le vayais a dar, ésta herramienta tan sólo es una demostración de lo importante que debe ser nuestra seguridad para evitar que un tercero, con unos mínimos conocimientos, pueda monitorizar y conocer nuestras comunicaciones. Repito: no me hago responsable de su uso, allá cada cual con sus intenciones.