Omar Benbouazza Villa

¿Arruinamos a Whatsapp?

Omar B. Villa — Tue, 24 Apr 2012 08:13:41 +0000

Artículo publicado el 26 de Marzo de 2012 en SecuritybyDefault.

Después de los distintos post sobre la inseguridad de esta aplicación que han venido haciendo los compañeros de SecurityByDefault, hago este pequeño artículo que explica la posibilidad de realizar envíos masivos de SMS empleando la plataforma que brinda WhatsApp.

El mantener una plataforma de mensajería abierta y gratuita, cuesta mucho dinero. Si a esto se le suma provocar un gasto no contemplado de manera constante, podría acabar con el modelo de negocio que tienen a día de hoy.

Cuando un cliente se instala por primera vez la aplicación, o bien cambia de terminal, este tiene la obligación de solicitar un código de seguridad para verificar que ese número de teléfono es el correcto y prevenir un ID Spoofing.

La URL empleada para la solicitud del código es la siguiente:
https://r.whatsapp.net/v1/code.php?method=sms&to=34600000000&in=600000000&cc=34&mcc=000&mnc=000

Se especifica en la primera variable “to=” el número de teléfono con el prefijo internacional (34 para España), y en la segundo “in”, sin el prefijo. En “cc=” volvemos a poner el prefijo, y las variables “mcc/mnc” son datos de la operadora telefónica y las dejaremos a cero-cero-cero.

Con la creación de un script muy básico, se puede realizar un envío a los 10 millones de teléfonos móviles españoles que tienen WhatsApp instalado.

Empresas como esta, emplean pasarelas de envío de SMS a un precio mucho más bajo del establecido por las operadoras de telefonía, con lo que si el precio que paga esta empresa por SMS lo situamos en 0,01€, cada vez que ejecutemos el script, provocaríamos un gasto de 100.000 euros. En realidad, seguro que pagan mucho menos dinero por SMS, pero también tenemos la posibilidad de enviar muchos más SMS de manera global a otros países, tan sólo valdría con cambiar el prefijo…

Código del script realizado por @chencho:

#!/bin/bash let i=600000000 let END=699999999 echo "\n" > data while ((i<=END)) do echo "[*] Mobile number: $i" >> data echo "[--- " >> data curl -d "method=sms&to=34$i&in=$i&cc=34&mcc=000&mnc=000" https://r.whatsapp.net/v1/code.php >> data let i++status="success-sent" echo "---]" >> data done

Este script nos generará un fichero DATA, donde veremos a qué teléfonos les ha llegado el SMS con el Status “success-sent” o bien han fallado por demasiados intentos en un corto espacio de tiempo y no se enviará.

No se ha llegado a probar sobre un escenario real, ya que posiblemente se banearía la dirección IP. Esto no deja de ser una prueba de concepto, y por tanto me exonero de toda responsabilidad por su mal uso, ya que podría haber serios problemas legales.

De hecho, antes de la publicación de este artículo, se ha informado debidamente al Grupo de Delitos Telemáticos de la Guardia Civil, que ha trabajado de manera impecable dando a conocer a WhatsApp este problema en tiempo récord para una solución lo más rápida posible.

A día de hoy la vulnerabilidad sigue existiendo, por lo que una vez más, la seguridad de esta aplicación y su gestión de incidencias quedan en evidencia.

Al final van a tener que poner el WhasApp de pago…

* El día 30 de marzo, 4 días después de la publicación de este artículo, Whatsapp desconectó la pasarela de SMS para no sufrir este tipo de ataques.

Ejemplos de Phishing (II)

Omar B. Villa — Thu, 29 Mar 2012 13:33:53 +0000

Banco Bradesco - http://www.bogotasportsonline.com/cache/mod_cleanmenu/

Banco de Chile - http://200.24.40.40/h/inv/oc/redir/d760f2c36db8fcbef7a3d59c5625aa48/a29zdGFfbWFya29uaUBob3RtYWlsLmNvbQ0%3d/

Corpbanca - http://www.ubuntu.upc.edu/docus/www/authenticacion/id_category/Online/index.htm

Unas NAS algo peligrosas

Omar B. Villa — Mon, 13 Feb 2012 09:23:08 +0000

Artículo publicado el 24 de Enero de 2012 en SecuritybyDefault.

Hace unos años, la empresa LaCie, cuyos discos duros extraíbles podéis encontrar en cualquier centro comercial, comenzó a vender NAS “domesticas” para aquellos que necesitan suficiente espacio para sus fotos, películas, etc. o incluso para PYMES que requieran de espacio para gran cantidad de datos.

Estos modelos de NAS, conectados mediante RJ45 al router, es en muchos casos accesible desde internet para ofrecer espacio a los amigos, o bien poder entrar en la NAS y visualizar archivos o documentos desde el trabajo.

Hasta aquí todo normal, ¿no?

El problema viene, cuando este tipo de dispositivos, por defecto permite la conexión mediante HTTP y FTP de un usuario anónimo. ¿Puede entonces cualquier persona visualizar los documentos de mi empresa en la NAS? Si, y también editarlos o borrarlos.

Hace unos meses, avisé a un CERT de la existencia de una LaCie BIG5 expuesta que pertenecía a una cadena de televisión local. Probé a entrar como anonymous, y BINGO. Pude comprobar como tenían establecidas distintas carpetas con las películas, series, telenovelas y dibujos animados o reportajes de forma bastante ordenada y con una calidad asombrosa.

También pude observar como había acceso a modificar la “mosca” o logotipo de la cadena, así como con las “cortinillas” que te decían que iban a publicidad y que volvían en cuestión de minutos.

El mayor de los problemas no era poderte descargar parte de su programación. Sino que tenía en mi mano el poder sustituir videos que iban a entrar en el informativo del día por un video gracioso de Youtube o poner el logo de Anonymous o Rooted como la “mosca”. ¿A quién no le gusta la televisión a la carta?

Desde Shodan podéis vosotros mismos comprobar la cantidad de dispositivos que tienen permitido el uso “anónimo”.

Algo parecido sucede también con algunos modelos de NAS de la compañía NetAPP, responsable de soluciones para grandes empresas. Traen un panel de administración (/na_admin) con un usuario por defecto root sin password. Con una sencilla búsqueda, puedes entrar a los ficheros de cualquier gran empresa o universidad, que las utilizan mucho.

Accediendo al panel, no podremos acceder a los datos de forma directa, pero si modificar propiedades de la NAS y poder hacer un mirror en cualquier servidor externo, donde ya si podremos analizar los datos.

Por lo que vemos, queda demostrado que a pesar de todas las noticias que vemos diariamente, relacionadas sobre el robo de información, hacking y demás, no es suficiente ni mucho menos. Todavía hay gente que tras comprar o contratar unos sistemas de almacenamiento, los conectan directamente sin tan siquiera modificar la contraseña que viene por defecto.

Miénteme

Omar B. Villa — Tue, 24 Jan 2012 17:01:46 +0000

Lie to me (Mienteme), es una serie que están emitiendo desde el año 2009. Me parece muy interesante y divertida, ya que da un punto de vista muy a menudo olvidado “a pie de calle”, sobre las reacciones y comportamientos naturales de las personas.

¿Os planteais emplear esto para hacer Ingeniería Social?

¿Qué ocurre si somos capaces de controlar todos nuestros gestos?

¿Y si llevamos a cabo una conversación, mdtificando el rumbo de la misma según los gestos que nos transmite nuestro interlocutor?

LAN en Peggy Sue’s

Omar B. Villa — Tue, 20 Dec 2011 21:47:55 +0000

Las famosas gramolas “restauradas” de las hamburgueserias Peggy Sue´s a veces dejan ver la conexión RJ45 que tienen…

Estaría divertido poner una canción “fuera de carta”.