Juegos de Tronos con LexNET

Hoy es otro día más que, el mundo del derecho y de la informática están unidos. Aunque esta vez, quizás, por un motivo menos agradable y triste, porque se ha revelado una vulnerabilidad en la aplicación de LexNET que permite acceder a la bandeja de entrada de cualquier usuario cambiando el ID en la url. Para realizar dicha intrusión se deberá estar identificado dentro del sistema.

Sin embargo, pienso que no todos los lectores de este blog tienen conocimientos sobre esta aplicación. Por ello, vamos a empezar por su simpática y desafortunada definición:

¿Qué es LexNET?

Si buscamos “qué es Lexnet” en Google, rápidamente nos saldrá un cartel con una descripción extraída de la página de la administración de justicia, donde encontramos “intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos“. Yo también añadiría Pastebin.

Pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general, de forma “anónima”. Muy usado en la fugas de información.

El intercambio de información no es el más seguro del mundo pero bueno… no obstante la confidencialidad y la integridad de los datos deja mucho que desear ya que, en la URL aparece un campo del ID del usuario. Si lo modificamos por otro usuario entrarías fácilmente a la bandeja de entrada de dicho usuario.

Y es que no sería nada raro que, ¿peritaje informático? Un peritaje informático en los servidores para identificar pruebas de accesos no autorizados, encontraría que, LexNET ha sido un bufet libre.

¿Cuánto ha costado la aplicación de LexNET?

La aplicación de LexNET es muy vieja, desconozco cuándo nació exactamente. Estaba desarrollada en C++ y en el año 2011 se presentó la nueva versión en Java.

Según la resolución firmada por Esther Arizmendi Gutiérrez a la solicitud de una persona que desconozco su nombre:

En la resolución indica: la aplicación LexNET ha costado seis millones cuatrocientos veintiséis,  cuatrocientos sesenta y cuatro euros con cuatro céntimos desde el veintitrés de agosto de 2010 hasta el 31 de agosto de 2016.

¿Quién ha desarrollado la aplicación de LexNET?

Tengo que reconocer que sin la resolución escrita por el Consejo de Transparencia y Buen Gobierno y un comentario escrito en un artículo de un blog llamado “Lexnet 7 pecados capitales“, habría sido complicado encontrar la empresa que desarrolló LexNET.

comentario-isdefe

En un principio, todo apuntaba hacia la empresa Novasoft Corporación Empresarial S.L presidida hasta el 19 de noviembre de 2012 por Francisco José Barrionuevo Canto – coincidiendo las fechas con la cesión que le concede SADESI.

Él ha sido investigado por la fiscalia de anticorrupción porque consideran que  incurrió en un delito de malversación de caudales públicos por varias supuestas irregularidades, piden 6 años de cárcel. No he encontrado información sobre la sentencia.

Novasoft responsable de la configuración e implementación de LexNET, tal como aparece en su página web, durante los meses de septiembre y octubre de 2011:

  • SADESI concede a Novasoft el ‘Servicio de Despliegue, Configuración, Formación y Soporte a la Implantación Lexnet en Juzgados y Colegios de Procuradores de la Comunidad Autónoma de Andalucía’.
  • La empresa RED.es otorga a Novasoft los ‘Servicios para la implantación de Lexnet en la Administración de Justicia de la Comunidad Valenciana’.
  • La Diputación Provincial de Granada concede a la empresa Novasoft la ‘Implantación y Formación del Sistema de Notificaciones LEXNET en Juzgados y Colegios de Procuradores de la Comunidad Autónoma Andaluza’.

Sin embargo, Novasoft no es la desarrolladora de la aplicación y para conseguir ese dato deberemos leer detenidamente, como capítulos de Juegos de Tronos se tratara, el documento que escribe Doña Maria Esther Arizmendi Targaryen (presidenta del Consejo de Transparencia y Buen Gobierno) y Don Antonio Dorado Lannister (secretario general de la Administración de Justicia).

INGENIERÍA DE SISTEMAS PARA LA DEFENSA DE ESPAÑA S.A, ISDEFE. Esa es la empresa pública, propiedad del Ministerio de Defensa Española que ha colaborado en desarrollado LexNET por un valor de 6.426.464,04 € ¿será así?.

Obtenido ya esta información, observamos que en la web de ISDEFE encontramos un formulario de las licitaciones abiertas, desérticas y adjudicaciones de subcontrataciones donde estará la empresa que realmente realizó el desarrollo o parte de él.

La aplicación de licitaciones de ISDEFE

Me dispuse a crear un bot que automaticamente descargará todos los pliegos e información de las adjudicaciones pero empezaron los problemas. NO FUNCIONA. El bot perfectamente, si no, los PDFs de los pliegos y licitaciones. Entonces decido buscar en Google usando el siguiente dork:

dork-lici-isdefe

Encontrando los siguientes documentos públicos, muchos usando la caché de Google porque actualmente (28/07/2017) no están operativos:

  • Listado de contrataciones mayores de 18.000 € de 2014, 2015 y 2016
  • Dossieres anuales donde aparece el proyecto de LexNET

No encontré ningún listado anterior a 2014.

11-06-2015-i-nercya17-09-2014-AVALON19-10-2015-AVALON

Los datos que aparecen son:

  • La empresa AVALON TECNOLOGÍAS DE LA INFORMACIÓN S.L fue adjudicada en 2 ocasiones por un total de 403.200,00 € y 23.040,00€ en los años 2014 y 2015
  • La empresa I-NERCYA INTELLIMENT SOFTWARE S.L fue adjudicada en 1 ocasión por la cantidad de 53.240,00€ en el año 2015
  • Recordamos que no he podido encontrar los años anteriores a 2014 o no existen

Conclusiones

Las conclusiones se las dejo a los lectores, existen un maravilloso formulario abajo donde pueden exponer su opinión o conclusiones. Simplemente decir, antes de nada que, desde el siguiente enlace podrás descargar toda la documentación que he encontrado:

https://www.dropbox.com/s/6rdfqpyob5a7qm0/BotEnTriana-JDT-LEXNET.rar?dl=0

Las fuentes utilizadas en el este artículo son:

  • Solicitud de acceso a información pública. Expediente 001-005871
  • Resolución de la anterior solicitud. Enlace.
  • Listado de adjudicaciones de la empresa Novasoft
  • Página web de ISDEFE
  • Aplicación creada para la investigación por QuantiKa14 llamada DanteGates
  • Dossieres de ISDEFE
  • Listado de adjudicaciones de 2014, 2015 y 2016

PD:¿Dónde están los 6 millones y medio?

Un saludo.

Donde esté un Trianero está Triana.

 

 

Advertisements

[OPINIÓN] Arcilla para el muro de la verdad sobre la muerte de Miguel Blesa

Este jueves, el Tribunal Superior de Justicia de Andalucía (TSJA) informó brevemente que “el Juzgado de Primera Instancia e Instrucción número 2 de Peñarroya-Pueblonuevo, encargado de la causa abierta por la muerte de Miguel Blesa, ha recibido el informe de la autopsia que se la he practicó ayer en el Instituto Anatómico forense de Córdoba, en la que se confirma que se ha tratado de una muerte por autolesión por arma de fuego”.

A lo largo de mi experiencia en casos de investigación (QuantiKa14), menores desaparecidos (Exo Security), estafas internacionales y crímenes informáticos (E-crimen), he agudizado un músculo compartido por todos los seres humanos; aunque solo es visible en pequeños destellos, algunos afirman haberlo encontrado en algunos familiares o amigos conocidos, es: -“si yo no tengo nada en contra de ellos, tengo un amigo que…” . El sentido común.

Nunca olvidaré el caso de una menor desaparecida que fuimos ayudar a localizarla. En su casa, al ver a toda la familia, y el padre dormido, porque trabajaba por las noches, – tu hija, lo que mas quieres, lejos de ti, desaparecida; y su cara de rechazo al ofrecernos a ayudar, gritaba: yo se donde está mi hija. Sentido común. Efectivamente, la menor estaba con su primo, el cual se pudo comprobar posteriormente que abusó sexualmente de ella. Ella tenia, recuerdo, 12 años. ¿Y qué te dice a ti querido lector el sentido común sobre la muerte de Miguel Blesa?

A mi, el mío me dice:

  • Lo han matado. ¿Venganza de alguna persona afectada por las preferentes, o enfadada, en general, por la gran cantidad de casos de corrupción? Es posible, recordemos que el lugar donde se encontraba no dispone, aparentemente, de medidas de seguridad. Un chivatazo de alguien de dentro, o alguna persona que conociera su paradero en ese momento, podría haberse atrevido a entrar para asesinarlo. En ese caso, si fuera real, quizás se podrían encontrar indicios de forcejeo, huellas, o imágenes de alguna cámara de seguridad.

  • Lo ha matado un amigo. Un asesinato romántico y planeado. El periódico El Mundo comenta en su web que en el lugar de su muerte estaba acompañado por “su amigo, un guardés, la mujer de éste, y un trabajador”. Imaginemos, por un segundo, que alguna de estas personas es su asesino. Es posible, ¿no? Al parecer, las entrevistas realizadas descartan esta posibilidad.

  • No ha muerto y todo es un teatro. Una escena, montada para vivir tranquilo de los acosos y escarnios públicos que estaba recibiendo por parte de personas cabreadas. ¿Esto también es posible? España es un país que cada día nos demuestra su lado más oscuro y mafioso. Ahora dispongámonos a ver la entrevista “La versión de Villarejo” en el programa Salvados.

  • Una vez descartado lo imposible, lo que queda, por improbable que parezca, debe ser la verdad – Sir Arhur Conan Doyle, El Signo de los Cuatro. Se ha suicidado.

Es un error capital el teorizar antes de poseer datos. Insensiblemente, uno comienza a deformar los hechos para hacerlos encajar en las teorías en lugar de encajar las teorías en los hechos. También citado por el personaje Sherlock Holmes aparece como tal en los relatos cortos y novelas de Arthur Conan Doyle.

Quizás sea cierta la autopsia que se la he practicado en el Instituto Anatómico forense de Córdoba, y se haya suicidado. Sin embargo, sin datos solo podemos teorizar, especular y sacar conjeturas que nunca sabremos si son ciertas.

El muro de la verdad, el que nos diría si estamos ante un suicidio o un asesinato, se compone de ladrillos, hechos de datos, de la arcilla de la investigación, de los hechos fríos, de la verdad. Y esa arcilla solo podremos obtenerla siguiendo algunas líneas de investigación que, a mi parecer, serían:

  • Obtención de las ubicaciones de los terminales móviles. Los de todas las personas cercanas en los últimos momentos de Blesa.

  • Peritaje informático en los ordenadores de Miguel Blesa. Las personas que se suicidan suelen tender a actitudes informáticas muy parecidas a las personas que desaparecen. Quizás en el historial de navegación, o recuperando archivos, exista alguna prueba interesante que clarifique todo.

 

Dichas líneas de investigación podrían proporcionar las siguientes pruebas:

  • Mapa de ubicaciones de todas las personas cercanas a los hechos. Imaginemos que, en la zona de la muerte (si no se encontró ninguna prueba de que el cuerpo fue desplazado), aparece que estaba también su amigo. Podría ser una clara prueba para sospechar.

  • El peritaje informático puede proporcionarnos conversaciones, claves de acceso a plataformas, redes sociales, emails Aunque, deduzco que será complicado, ya que, por sus implicaciones en otras investigaciones, como tarjetas black, podrían proporcionar conversaciones que, no serían de mucho interés para algunas personas. Sin embargo, con el objeto de la verdad de este hecho, podriamos obtener mensajes que mantuvo con terceros antes de decidir suicidarse. En el caso de ser así, podría aparecer algún archivo de confesión que despeje las dudas. La navegación puede ayudar a ver si visitó algún vídeo asociado a alguna emoción de su vida, búsquedas de hoteles, coches de alquiler, viajes fuera de España, etc. Pruebas que darían un salto a la investigación.

No obstante, desconozco como se realizan las autopsias de un cadáver, y tampoco soy la persona responsable de la investigación.

En fin, tal vez nunca sepamos la verdad. Desconoceré el 100% de las líneas de investigación que está llevando a cabo la Guardia Civil, así que no sé si todo esto ya lo están contemplando. Si siempre que existiera sospechas de un posible asesinado, el juez autorizara la investigación informática a través de los peritos informáticos, quizás hoy respiráramos algo más de verdad.

Para finalizar, lo que sí diré es: que ya existe un muro de datos, que sigue creciendo, y podemos concluir. Son las decenas de personas que se han suicidado por los desahucios. También me gustaría citar de nuevo a nuestro personaje tan querido y admirado por el público, Sherlock Holmes que dice:

Al contrario, Watson, lo tiene todo a la vista. Pero no es capaz de razonar a partir de lo que ve. Es usted demasiado tímido a la hora de hacer deducciones.

¿Cómo instalar Pokemon Go en España?

Han sido decenas de veces las ganas que he tenido de escribir para mi blog personal. Demostrándolo una larga lista de entradas en borrador más maduras o menos pero que tienen en común que nunca han llegado a ver la luz. Sin embargo hoy vengo a compartir una pequeña entrada como principio de una nueva actitud en mi de publicar más información sobre diferentes temas: política, opinión, filosofía, psicología, mundo laboral, Sevilla y mil cosas que se me pueden ocurrir por la cabeza.

Tras la introducción solo quiero explicar como instalar en nuestra Android de forma muy fácil Pokemon GO ya que, muchos de nosotros tendremos la dificultad de no poderlo instalar porque hoy 8 de junio de 2016 está limitado la descargar e instalación por Google Play en España. Dejándonos esta triste imagen cada vez que lo intentamos:

pokemongo-vaserqueno

¿Cómo instalar Pokemon GO?

  1. Activar en Ajustes>Seguridad la pestaña que estará por defecto desactivada “Orígenes desconocidos”. Esto permite la instalación de aplicaciones de origen desconocido.
  2. Después descargaremos desde nuestro dispositivo móvil este archivo: enlace
  3. Vamos a nuestro gestor de archivos de Android y accedemos a la carpeta “Descargas” o “Download” y buscamos el archivo “VivaTriana-PGO.apk” y lo ejecutamos para la instalación.
  4. Los siguientes pason son siguiente, siguiente…

Para una mayor seguridad expongo el reporte en virustotal y el MD5 del archivo que yo comparto por si lo descargáis de otro sitio.

descarga-300x250

virustotal-pgomd5PGO

Hacker a domicilio en Sevilla

 

No es algo por lo que pueda esta ciudad distinguirse de las demás, ya que es una práctica bastante habitual en casi todas las ciudades de España. Muchas personas que ignoran cómo funciona el mundo “underground” o venta de servicios de seguridad informática suelen caer víctimas de estas estafas al dejarse llevar por la ira, venganza, envidia o celos… o quizás no son estafas y realmente prestan los servicios que prometen hacer pero totalmente ilegales.

Como ya saben tengo un pequeño ejercito de minions y uno de ellos exclusivamente dedicado para milanuncios debido a la gran cantidad de información y  anuncios que se publican allí diariamente. El bot imprime a cada cierta hora del día los títulos y contenidos junto al teléfono o correo electrónico de contacto.

Una mañana me desperté como suele ser maldiciendo a los dioses Griegosmensaje-hack-anuncios y Romanos con una diferencia de los demás días una alerta de mi minion para milanuncios. En el se podía ver el título, contenido y enlace del anuncio del que voy hablar ahora.

La verdad que me llamó mucho la atención y me puse en contacto desde la misma plataforma de Milanuncios pidiendo información sobre el servicio y esta fue la contestación:

troyanizer

Impresionado por tal respuesta al detalle sobre el malware me llegaron varios pensamientos. Desde que soy colaborador en la radio en la sección de acosados de Rafael Cremades en CanalSur me llaman muchas mujeres posibles víctimas de aplicaciones espías en sus dispositivos móvil. Y para colmo también frecuentan hombres y sus respectivos abogados (nunca me ha llamado un mujer de momento) para preguntarme, pedirme asesoramiento… sobre si existe la posibilidad de que pudiera infectar con un virus informático que pueda acceder a diferentes datos del móvil, sobretodo el whatsapp de su mujer, exmujer, exrollo, etc.

Entonces pensé que seguramente estos individuos  al ver mi gran negativa y advertirles del gran problema que pueden llegar a tener, terminen contactando y contratando este tipo de servicios.

Al cabo de unos días insistió en si estaba interesado en el servicio y con una vaga intención de suerte le pregunte que si era de Sevilla y podríamos vernos ya que el anuncio estaba puesta para esta provincia.

conversacion

Me encanto la respuesta: “Somos hackers, nunca nos verá en persona el nnftcontacto es por aquí”.

Me gustaría que sepan que si estas interesado o conoces a alguien que lo esté es un delito y ya escribí en su momento un artículo sobre la detección de aplicaciones espías en dispositivos móviles en QuantiKa14.

Con esto me despido y espero ver a esos hackers en el Sec/Admin donde QK14 es organizadora, y el servidor que escribe en este pequeño espacio,  da un taller el sábado sobre seguridad en WordPress y estará encantado de conoceros. Un saludo.

 

 

 

 

 

 

RansomWaPe v.1: primer ransomware para WordPress

Lo prometido es deuda. Ya había comentando en algunos sitios que llevaba tiempo trabajando en crear un pequeño ransomware para WordPress para usarlo en las diferentes charlas y talleres que doy sobre seguridad de este gestor de contenido. Por ejemplo la del próximo 12 de diciembre en el congreso Sec/Admin.

ransomwapeMi finalidad es totalmente educativa y para realizar las diferentes pruebas he usado un pequeño laboratorio en casa con un Apache, MySql y WP montados en local. El plugin ha sido bautizado con el nombre de “RansomWaPe“, he decidido llamarlo así para jugar un poco con las letras principales de “WordPress” y su forma abreviada de escribirlo “WP”, con la funcionalidad del plugin que es ransomware.

¿Qué es un ransomware?ransomware

Buscando en Google encontramos un montón de información. Quizás nos venga a la cabeza rápidamente son el famoso CryptoLocker/Cryptowall y la noticia de los “nuevos” ransomware orientados a servidores linux. También el conocido virus de la policía que hemos visto como ha ido evolucionando adaptándose para engañar a las víctimas.

Volviendo hablar del plugin este solo podrá ser utilizado en caso de post-explotación de una web con WP. El atacante instalará el plugin y automáticamente al activarse se cifrará los contenidos y títulos de las entradas del blog. De momento en esta versión solo cifrará eso aunque se puede ampliar a todo el contenido de la base de datos, sin afectar al funcionamiento del sistema.

En este caso tendremos 2 partes: el plugin y el servidor con la API que escuchará las peticiones de las victimas devolviendo la clave de cifrado. Se guardará junto al ID, URL de la víctima y hora de la inserción de los datos de las entradas en la base de datos

FUN-ransomwape

Como podéis ver el funcionamiento es muy simple. Algunas de las  mejoras que se pueden aplicar es el cifrado de la base de datos del servidor anticipando que si se llegará a encontrar el servidor no puedan tan fácilmente obtener las claves para descifrar los datos. También se podría pasar la petición de la víctima por un tunel de tal manera que dificulte el rastreo de las comunicaciones cliente-servidor. Y así mil cosas…

Más adelante publicaré un plugin anti-ransomware para WordPress y varias entradas dedicadas al forense en WordPress que está siendo atacado o ha sido atacado. Todo esta información estará con antelación en los diferentes cursos y talleres que doy. Si estás interesado en asistir alguno puedes enterarte a través del blog de QuantiKa14 o mi Twitter.

Os dejo un vídeo del funcionamiento del bichito.

Por lo demás deciros que también publicaré un video de como funciona el código para las pequeñas modificaciones que se pueden hacer y la instalación del servidor. ¡Un saludo!

descargar

 

 

Wecino.py: IP REVERSE AND WP DETECT

Saludos, hoy vengo a hablaros con esta segunda entrada de este blog de una pequeña idea que me entro para uno de mis pequeños minions (bots) de Triana.

Un servidor web se puede configurar para servidores con múltiples hosts virtuales desde una única dirección IP. kcms1Esta es una técnica común en muchas webs y puede ser una excelente manera de ampliar la superficie de ataque cuando se va auditar un servidor o aplicación web. Por ejemplo, si el target principal objetivo parece ser seguro podemos ser capaz de obtener acceso al sistema al atacar a un sitio menos seguro alojado en el mismo servidor, evitando así las medidas de seguridad de nuestro objetivo principal.

Sabiendo esto vamos a pensar también en la posibilidad de no solo tener un listado de las webs que estén alojados en el mismo servidor si no saber si cada una de esas webs usan algún gestor de contenido conocido. Cuanta más información obtengamos para posteriormente encontrar vulnerabilidades es bienvenida por lo cual he creado un script que lista estos dominios y accede a cada web buscando características que puedan darnos información sobre que CMS usa. 

De momento esta es la versión 1.0 y la detección solo es para las webs que usan WordPress en las próximas versiones iré implementando más gestores de contenido como: Joomla, Drupal, Moodle, Prestashop, etc.

La detección del WP es también bastante sencilla asunto que debo mejorar ya que, de momento lo primero que hace es buscar en el código “xmlrpc.php” y si es positivo extraer la versión. El xmlrpc.php es el archivo PHP que usa con ese nombre WP para la publicación de post remotamente a través del protocolo XML-RPC.

Una definición sencilla para WECINO.py es: escaner de páginas webs alojadas en el mismo servidor y detección de CMS y vulnerabilidades.

¿Vulnerabilidades? si, quiero implementar en la próxima versión que después de detectar que gestor de contenido use permita pasar un escaner de vulnerabilidades de plugins, componentes y themes.

Para descargar Wecino.py puedes hacerlo desde el siguiente enlace:

descargar