sábado, 22 de agosto de 2015

Instabrute (Esta vez, tu password está en la lente de la cámara)


Seguramente muchos ya conocen al @chinoogawa , ese que nos dió tantas alegrías con su Facebook Hacking Tool (Ayy, esas inyecciones de likes y ni hablar del Friendly Logout). Esta vez, comparte con todos los "kakers" una nueva herramienta llamada Instabrute, la cual podemos descargar de aquí:
https://github.com/chinoogawa/instaBrute

Como reza el título, esta vez la que esta en foco no es una imagen que subiste a Instagram, sino tu password. Si si, gracias a Instabrute podemos realizar un ataque de fuerza bruta por diccionario. Además, nos permite saber si una cuenta existe para posteriormente comenzar el ataque. Por qué podemos hacer esto?

Podemos hacer esto, gracias al pobre diseño que posee el sitio de Instagram en cuanto a la seguridad. Debemos reconocer que Instagram siempre ha tenido problemas graves de seguridad. Si viajamos a un tiempo atrás recordaremos que se descubrió que la aplicación de Instagram no cifraba las cookies de navegación, con lo cual, un atacante podía capturar esas cookies y hacer un hijacking de la sesión. Esto dió origen a la herramienta Instasheep, pariente de Firesheep, que realizaba automáticamente la captura de cookies y nos abria la sesión secuestrada al instante:

http://www.hackplayers.com/2014/07/instasheep-secuestrar-cuentas-de.html

También podemos recordar que Instagram no verificaba que el mail que ingresaste al momento de registrarte sea el tuyo (nunca te enviaba un correo con un enlace para que actives tu cuenta), con lo cual, permitía que crees un perfil con el correo de otro.

Siguiendo con los problemas de seguridad tenemos lo siguiente: Sin tener cuenta en Instagram, podemos buscar cualquier nombre de usuario ingresando en nuestro navegador: instagram.com/usuario_X


Bueno, muchos dirán, "El usuario debería configurar sus opciones de privacidad". Pero hay un problema... Instagram no permite al usuario agregarle privacidad a su cuenta. Si miramos la configuración vemos que no existe ninguna opción para hacer que nuestra cuenta no sea visible para quienes no nos siguen, o no son usuarios, o algo similar.


Solo nos permite desactivar nuestra cuenta momentáneamente.

También, podemos ver que en su página de login, un usuario puede probar ilimitadamente contraseñas sin que salte un cartel al tercer intento o un captcha por ejemplo:

Que gracioso, nos dice "Tu nombre de usuario o tu contraseña con incorrectos" como para que uno no se de cuenta si existe ese usuario pero te deja verlo si lo pones en el navegador jeje.

Gracias a esto nace Instabrute, Con esta herramienta podemos verificar si existe un usuario y posteriormente realizar un ataque de fuerza bruta por diccionario. La herramienta esta desarrollada en python y para su uso debemos tener instaladas las siguientes dependencias:

  1. Mechanize
  2. CookieLib
  3. Simplejson
  4. OptParse
Para utilizarla hacemos:

python  instaBrute.py  -u  usuario  -d  diccionario.txt

En el caso que tengamos una lista de usuarios podemos hacer:

python  instaBrute.py  -f  usuarios.txt  -d  diccionario.txt

Veamos primero que sucede si el usuario no existe:


si instaBrute recibe el mensaje de error 404 del sitio nos informa que el usuario no existe:


Lo que recibimos en el navegador se ve así:

Ahora, probemos con una cuenta existente:

Y ahí lo tenemos! Nuestra clave en la lente de la cámara, lista para subir a Instagram con un lindo marco y efecto Nashville jeje

Esto demuestra lo importante que es restringir el número de intentos de alguna forma al momento de diseñar una página de login. Espero que se diviertan con esta linda herramienta. Gracias @chinoogawa por sorprendernos una vez mas.

Saludos y...

HAPPY HACKING Mother KAKERS!

martes, 4 de agosto de 2015

Conociéndote a partir de tu número de teléfono fijo (y crackeando tu pass)



Hola a todos. Voy a cortar por ahora las Android Hacking Series. En esta entrada vamos a ver lo fácil (y tenebroso) que puede ser, en algunos casos, encontrar información de una persona a partir de su número de teléfono fijo. Utilizaremos servicios de guías telefónicas, padrones, redes sociales, un poco de Google y astucia para ver todo lo que hay sobre X ser humano. Teniendo toda esa información luego podremos utilizar alguna herramienta para generar posibles claves de ese usuario y, finalmente lograr el tan deseado acceso.

Para comenzar, buscaremos en el sitio www.telexplorer.com.ar un número cualquiera. Para realizar esto, ingresamos al recuadro que dice "Búsqueda Residencial" en la página principal:



Colocamos un número de telefono cualquiera y esperamos el resultado:

Bueno, ya tenemos algo por donde empezar. Ahora ingresamos a Buscardatos.com y colocamos el nombre obtenido junto al rango posible de años. Buscamos, buscamos y...bingo, aparece nuestra persona:


 Figura otro domicilio pero vemos que coinciden los apellidos (si si, tiene dos apellidos) y los nombres así que tendremos fé y seguiremos. Clickeamos en "ver más" y tenemos lo siguiente:


Podemos ver que obtuvimos dirección, fecha de nacimiento, edad (por si no queremos hacer la cuenta jeje) y a que se dedica la persona.

Ahora realizamos una busqueda en Google, incorporando como parámetros algunos  de los datos obtenidos y encontramos por ejemplo un sitio en el que nos podemos asegurar que la actividad encontrada antes era correcta:


 Un poco más...

Seguimos conociendo a que se dedica

 Seguimos buscando y encontramos otro teléfono (quizas el primero estaba desactualizado), un correo y hasta una foto!

Tenemos una foto y el correo de la persona

Recapitulando, tenemos los siguientes datos de la persona:

  •  Nombre y Apellido
  • Dirección
  • Números de teléfono
  • Email
  • DNI
  • Edad
  • Fecha de nacimiento
  • Actividad

Con toda esta información, estamos listos para crear un diccionario para un ataque de fuerza bruta. Esto podemos verlo en la entrada: 

http://mamaquieroserpentester.blogspot.com.ar/2014/08/password-101-parte-iv-creando.html

Podríamos continuar la búsqueda en las redes sociales para ver cuales son sus amigos, gustos de la persona, etc. Igualmente con lo que conseguimos ya tenemos bastante como para ir probando. Hay que tener en cuenta que tenemos un correo electrónico y con esto podemos verificar si la persona lo utiliza para su cuenta de Facebook. Por si alguno no lo sabía, cuando ingresamos nuestro usuario (nuestro mail) en Facebook y colocamos mal la contraseña, muy amablemente nos dice que la contraseña no es válida, con lo cual nos está diciendo que el correo ingresado (por ende el usuario) existe. Además, si colocamos un correo que no está registrado en Facebook veremos que nos muestra un mensaje que informa que ese correo no está asociado a ninguna cuenta. Pueden probarlo ustedes mismos con un correo que tengan y no usen para Facebook. Así podemos jugar y verificar lo siguiente:

Nuestra persona utiliza el correo que encontramos para su cuenta de Facebook


Este es tan solo un ejemplo de como, a partir de un solo dato, se nos pueden abrir infinitas posibilidades para ganar acceso a un servicio o comprometer un sistema entero.

Espero que sea de utilidad. Como recomendación, tengamos cuidado con la información que publicamos en internet y con las configuraciones de seguridad de las redes sociales. Estemos atentos también, a sitios que publican nuestra información sin nuestro consentimiento.

Saludos y..

HAPPY HACKING!