#lanueve

“Le trésor de Lucio” de Mikel Santos et Belatz, Éd. VERTIGE GRAPHIC, 2020

Hace unas semanas publicábamos un texto en el que presentábamos una acción relativamente modesta, con una importante denuncia.

La selección del objetivo estaba marcada por la necesidad de dar a conocer la ley de excepción digital que ha sido aprobada con nocturnidad y alevosía por el actual Gobierno en funciones, y ratificada en el Parlamento con el apoyo de PP y Ciudadanos, y la abstención de Unidas Podemos. Efectivamente, hablamos del Real Decreto-ley 14/2019, por el que se otorga un poder absoluto al Gobierno en materia de telecomunicaciones. Hasta tal punto, que podría ejercer la gestión directa de las mismas llegando a intervenirlas a demanda.

Sin embargo, sabíamos que sería complicado dar a conocer la acción y, con ello, el mensaje tras la misma. Y es que prácticamente todos los medios de comunicación tienen una cartera virtual para comprar misivas a la Agencia EFE (por medio de un sistema de pago con un protocolo no precisamente sencillo). Es una de las manos que les dan de comer, con lo que son parte de los afectados. Naturalmente, iban a intentar evitar difundir la noticia de que el medio estatal de la SEPI es un coladero 😁

Pero nuestras múltiples motivaciones políticas siempre tienen un mismo trasfondo común: la denuncia de la (in)seguridad en la Red. Especialmente, cuando se trata de grandes instituciones, pues son responsables de miles de datos de terceros. Nuestra elección del objetivo no estuvo nunca, por tanto, limitida a la necesidad de dar a conocer una noticia echando mano de su sistema de edición, la plataforma PMU.

Esa primera acción era mucho más ambiciosa. Y respondía a una apuesta que habíamos hecho entre nosotras: ¿Cuánto tardarían los equipos informáticos en actuar? ¿Serían capaces de ver más allá de la denuncia pública? ¿Entenderían por dónde habíamos entrado, encontrarían el fallo de seguridad? ¿Comprenderían, por tanto, hasta dónde nos habíamos metido? En otras palabras, ¿auditarían los sistemas o se limitarían a cortar el acceso y cambiar las contraseñas de las cuentas que habíamos utilizado para acceder a la PMU? 🙄

Como de costumbre, optaron por la vía fácil, barata y silenciosa. Eligieron poner por encima de todo su imagen y ganancias.

Y, cómo no, la cagaron...

Porque después de meses y una denuncia pública de semanas, seguimos dentro  😅

Sí, queridos. Seguimos dentro a pesar de vuestra paulatina migración a Azure. ¡Vaya! ¿Pensabais que con eso se acabaría el problema? Pues hemos migrado con vosotros a la nueva plataforma ultrasegura de Microsoft 🤭

Y ahora, otra vez: ¿creéis que esto es todo lo que tenemos? 😬

Podríamos haber hecho ingeniería social y conseguir unos pocos usuarios y contraseñas de forma “casual”, sí. Pero solemos ir un poco más allá, no nos ofendáis.Y, de todos modos, sólo con eso ya se pueden adjuntar archivos y subir cualquier guarrada a los servidores, con lo que optar por la vía fácil tampoco es lo más adecuado en esta tesitura. ¿Acaso no se alertó a los ciberseguratas del CCN, Incibe, Cert o CSIRT para que echaran un vistazo? 🙉

Lo cierto es que casi ninguna de nosotras llegó realmente a creer que alguien pudiera pensar algo así, pero aún así decidimos dar tiempo y sembrar la duda de que todo había sido el simple intento fallido de edición de una noticia 😂

Han transcurrido 20 días, y han ganado la apuesta las opciones más arriesgadas: las que iban en la dirección de que no harían nada, limitándose a cambiar las contraseñas. Total, sus clientes se encargarían de no dar trascendencia al intento de deface con el editor, y punto final. Ya sabéis, aquello de lo que no se habla, no existe...

¡MEEEEC! ERROR DEL SISTEMA 🚨

Tenéis una segunda oportunidad 😉

Inglorious /b/asterds

Ante la alarmante aprobación de una ley de excepción por parte del Gobierno en funciones de Pedro Sánchez, desde la Nueve hemos tomado prestado el acceso a una de las agencias de noticias internacionales más importantes del mundo: la Agencia EFE.

Nuestro propósito con esta acción es muy simple: darle a esta funesta noticia la atención que se merece. Para ello, íbamos a publicar lo siguiente en la agencia, a la que hemos accedido con permisos de editoras sin mayor problema:

El Consejo de Ministros del Gobierno en funciones de Pedro Sánchez aprobó antes de las elecciones, por vía de urgencia y sin necesidad de pasar por el Congreso, un Real Decreto Ley por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

“Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación”, dice el Real Decreto Ley. Pero, ¿a qué acontecimientos se refiere?

Esta norma jurídica con rango de ley otorga un mayor control al gobierno en materia de telecomunicaciones y aumenta sus posibilidades de actuación ante posibles infracciones a través de las redes y los servicios de comunicaciones electrónicas, pudiendo incluso llegar a asumir la gestión directa de los mismos o su intervención tanto en el plano electrónico como de infraestructutra. Unas medidas que, por su carácter excepcional, no requirirán de orden juidical.

Desde la 9 de Anonymous queremos denunciar estas medidas de forma contundente, y por ello nos hemos servido de un medio de comunicación tan importante como es la Agencia EFE (ENLACE).

Más que preocuparnos los pretextos en los que se basa el Gobierno central para la aprobación de este Real Decreto Ley, deberían alarmarnos las medidas que recoge en su seno: que el gobierno de turno pueda acceder a todos los datos que manejan los servicios de telecomunicaciones hace saltar por los aires derechos y garantías constitucionales, dejando en jaque mate libertades civiles básicas.

En los Estados Unidos necesitaron un atentado terrorista con más de 3.000 víctimas mortales para abrir un debate que alcanzó dimensiones globales sobre la prioridad de la “seguridad” ante los derechos constitucionales. Aquí, en el Estado español, Pedro Sánchez sólo ha tenido que servirse del discurso de crispación alentado por la derecha, de uno y otro lado, en torno a Catalunya. Un discurso con consecuencias devastadoras que cada vez se extiende a más ámbitos de la vida. Y lo ha llevado a cabo sin levantar polvareda, sin ninguna oposición que le haga frente.

Por todo ello, desde la 9 de Anonymous gritamos alto y claro:

¡NO A LA LEY DE EXCEPCIÓN DIGITAL!

Aquí se nos puede ver en la Edición de América:

Aquí, modificando la noticia de portada de la Edición de España 🤭

Aquí, añadiendo nuestra noticia como nueva:

Y aquí... aquí nos han pillado con el carrito del helado 🤣

Esta vez hemos sido descubiertas antes de acabar nuestro trabajo. No pasa nada, no es la primera vez ni será la última. ¡Pero ojo! Que se nos hayan revocado algunos permisos de acceso no significa que nos hayan echado del sistema, y seguimos necesitando de una acción tan trascendente como esta para dar a conocer la ley de excepción aprobada por el gobierno 😉

Y es que ante una violación tan flagrante de nuestros derechos como la que supone una ley de espionaje de semejantes características, solo cabe una respuesta: insurrección.

Justo hoy finaliza el primer tramo de seguimiento del INE, al que los principales operadores de telefonía móvil han cedido nuestros datos de ubicación para la realización de un estudio de movilidad. Un estudio que en sí mismo no supone un problema, pero que descubre una realidad que no por ser más conocida, es menos amarga: nuestras compañías, con acceso a una cantidad insultante de nuestros datos personales, tienen vía libre para traficar con ellos.

Por todo ello, hemos lanzado una acción de semejantes características. Es necesario alzar la voz y denunciar estos abusos que minan día a día conquistas alcanzadas tras años de lucha.

Y aunque no tenemos nada personal contra la Agencia EFE, y ya que estamos aquí... ¿de verdad que nuestra privacidad “es importante”?

Echémosle un ojo...

EFE utiliza unos servidores para su sistema de edición y publicación de noticias en sus delegaciones y países llamado PMU (Plataforma Multimedia Unificada).

A través de este sistema, sus corresponsales y redactores acceden a los paneles de edición, elaboración y publicación de noticias, vídeos, imágenes, audio, etc. Lo normal en un medio de comunicación.

Cada redactor/editor personaliza el sistema de búsquedas, alarmas, agenda...

...y ¡a trabajar con el bonito, eficaz y completo editor de EFE!

Por lo que respecta a nosotras, hemos osado entrar en su sistema con nuestros half-tracks de teclado para dar a conocer una noticia que, pese a tratarse de la mismísima Ley mordaza digital o la Patriot Act a la española, ha pasado sin pena ni gloria ante una opinión pública cada vez más aséptica y sumisa, domesticada por los constantes abusos de poder que cada día se ejercen desde las instituciones.

¿Será esto todo? ¿O tendremos más sorpresas preparadas...?

Estad atentas. Alzad la voz. ¡Rebelaos!

PD: Y no os preocupéis, que todo esto es de uso exclusivo de la Agencia EFE xDD

Hace varios meses ya que Twitter decidió suspender nuestra cuenta de forma definitiva, sin aviso ni posibilidad de recuperación. Y no somos las únicas… cada día más cuentas personales y colectivas denuncian la censura de un servicio que años atrás dio alas a movimientos revolucionarios de todo el mundo. Poco le queda ya de la esencia de aquellos años.

En estos meses no hemos dejado de trabajar, y hemos mantenido el contacto con algunas personas y medios de comunicación. Al parecer, existía la preocupación de que emprendiéramos acciones en el marco de las protestas por una sentencia vergonzosa contra nueve líderes independentistas condenados a prisión, que cuenta con la firme condena de numerosas personas a lo largo de todo el Estado español y también, desgraciadamente, de la connivencia de otras tantas. Pero como habréis observado, nuestra intervención no ha hecho ninguna falta :-)

En Catalunya hay una resistencia latente que en los últimos años se ha dejado ver no solo en las calles sino también en los entornos digitales, cada día más imbricados con la cotidianidad. Ha sido desde estos entornos que se ha generado una suerte de guerrilla lúdico-urbana que, como el agua, ha logrado colarse por las grietas más insospechadas. Y como ocurre con las goteras, no vale cualquier apaño ya que solo conducen a humedades que acaban haciendo peligrar la estructura del edificio. Esto es algo que la Audiencia Nacional algún día debería llegar a aprender. La Audiencia Nacional, y los gobiernos de paso que aprovechan su mandato en funciones para hacer modificaciones legales de urgencia “por razones de seguridad pública” propias de regímenes totalitarios.

El independentismo no es ni ha sido nunca nuestra lucha. El bochorno que nos provocan los líderes del gobierno español no dista en nada del que nos provocan los del govern, y no vemos ni hemos visto nunca a los asesinos de los mossos como “nuestra” policía. La gente haciéndose fotos con Torra o llamándole “president” nos provoca el vómito. Pero todo esto no quita para que condenemos con firmeza una sentencia a todas luces desproporcionada e incendiaria, que entendemos que ahonda en una senda represiva que hace tiempo que llegó demasiado lejos, y la respuesta violenta a las diferentes manifestaciones populares. Porque la violencia no llega únicamente de las fuerzas represivas; la violencia la vive el conjunto de Catalunya cada vez que alguien pide mano dura contra una postura política desde los altares de los medios de comunicación. La irresponsabilidad de la mayor parte de los partidos a escasos días de unas nuevas elecciones, saca lo peor de nosotras. Pero sobre todo, saca lo peor de la gentuza que ha consagrado su vida al negocio de la política. Las vidas de miles de personas vuelven a ser moneda de cambio electoralista en un ambiente cada vez más hostil.

En estos meses no hemos dejado de trabajar, pero también hemos aprovechado para reflexionar. Para reflexionar sobre el contexto social en el que nos encontramos, y también sobre nuestro cometido. Hemos navegado por las entrañas de distintas empresas, recopilado información y valorado nuevas acciones.

Y hemos decidido volver a Twitter, pero como un simple reflejo de nuestro contenido en Tumblr que se lanzará automáticamente a la red de microbogging en una nueva cuenta cuenta: @9deAnon.

En su lugar, tendremos mayor presencia en Mastodon:  @[email protected]

Pero especialmente, hemos decidido abrir nuestro correo:

la9deanon[@]protonmail.com

Nuestro anonimato es vuestra voz en un contexto cada vez más turbio para la libertad de expresión.

Por todas las personas que alguna vez se han atrevido a alzar la voz ante las injusticias…

We’re the 9th of Anonymous,

50 años del mayo del 68, 7 del 15-M...

Hace ahora 6 años, realizamos nuestra primera acción. Nos hicimos con el control de toda la entidad en línea de Capio Sanidad, incluyendo los hospitales que empezaba a gestionar de forma privada. Todos los datos de las pacientes estaban comprometidos debido a la acostumbrada irresponsabilidad y dejadez en materia de seguridad de este país, y detrás de todo estaban los mismos caciques de siempre.

Ellos pretenden limpiarse las manos culpabilizándonos a nosotras por descubrir y denunciar su negligencia, pero vosotras ya sabéis que esto no funciona así.

¡Y es que ya son 6 años de travesía juntas alrededor de Internet!

Ahora que los nombres de Rodrigo Rato y otras personalidades del Partido Popular como María Dolores de Cospedal han ido perdiendo prestigio y popularidad, queremos mencionar otros que siguen ostentando el poder desde la herencia, legalizada, del franquismo. Otros nombres que forman también parte del caciquismo de este vergonzoso reino pero sin hacer demasiado ruido.

Para tal fin, hemos puesto los ojos en otro de los gigantes de este país: ACCIONA. Su director, José Manuel Entrecanales, cobra casi el millón y medio de euros anuales. También goza de aportaciones "extraordinarias" de otros tantos a su plan de pensiones, que tan lejos queda del de nuestras jubiladas que salen a luchar a la calle cada día. Por desgracia, este dato no resulta obsceno en el sistema capitalista en el que vivimos: ACCIONA forma parte del IBEX-35, y sus cuentas caben dentro de la "normalidad" que ha sido establecida. Pero hay más.

Como monstruo empresarial, ACCIONA sigue creciendo exponencialmente. Poco a poco, está haciéndose con el poder de otros sectores que están más allá de su propio trabajo logístico, como es el energético o el inmobiliario. Este primero le está sirviendo de lavado de cara con su apuesta por las renovables (apuesta que llega cuando la hipócrita gestión de los recursos alrededor del mundo entero la han convertido en ganadora), pero el segundo, menos promocionado y todavía soterrado, apesta a la legua. Estamos hablando de la importante compra de acciones en Testa Residencial/Socimi, gigante de las viviendas en alquiler, asegurándose el puesto de socio referente. Y es que si la vivienda no es ya de por sí un tema baladí en el estado español, todavía menos lo son quienes siguen estando detrás de su explotación.

Antes de su prevista salida a bolsa, Testa ya ha movido de su presidencia a Antonio Hernández Mancha, sucesor de Manuel Fraga en Alianza Popular. Mancha está estrechamente vinculado a la contabilidad opaca del Partido Popular, y apareció en los Papeles de Panamá. Lo han dejado como consejero independiente, de forma que pueda seguir explotando la burbuja y lucrándose con ello pero sin llamar demasiado la atención. Que siempre los mismos, ya canta... Pero ahí están. Su sucesor, Ignacio Moreno Martínez, es parte de la dirección de Telefónica, entre otras joyas, y goza de distintos cargos de responsabilidad en el BBVA (que a su vez controla Testa junto con el banco Santander, Merlin Properties y ACCIONA).

Pero dejándoles el trabajo de investigación a las periodistas, nosotras vamos a centrarnos en demostrar, una vez más, la vulnerabilidad de esos que llaman "peces gordos". Que cobrarán en millones, pero desde luego no pagan igual a sus trabajadoras. Ni tan siquiera se molestan en afianzar la seguridad de sus estructuras digitales.No hay que engañarse: su poder es sólo una imagen. La realidad es que están muy lejos de ser insondables.

ACCIONA nos interesa especialmente porque es como un kernel a través del que se tejen las redes de innumerables empresas de toda tipología e ideología. Quizás a las antiespecistas les interese saber de dónde salen y hasta dónde van los camiones de empresas dedicadas a la explotación animal como puede ser Leche Pascual. Quizás resulten de interés más general los repartos de Amazon, o el recorrido de los camiones de empresas especializadas en destrucción de documentos, viandas, etc.

Junto a su filial marítima Transmediterranea, miles de contenedores surcan el mar para luego ser transportados por carretera en vehículos de mercancías controlados a través de GPS instalados en sus carrocerías y que no precisan de mantenimiento alguno, con durabilidad superior a los 5 años. Es el mundo del IoT (Internet de las cosas): todo está controlado a distancia. Lo tenemos todo controlado desde aquí, y desde aquí podemos observar todos y cada uno de los movimientos que tienen lugar.

Ellos tendrán los millones, pero nosotras tenemos acceso a los sistemas en los que se asientan. La seguridad absoluta no existe, y es todavía más compleja en este tipo de macro-compañías. Más aún cuando ni siquiera se preocupan de ello siendo un sector estrátegico en la cadena de abastecimiento y transporte de un país que se llama avanzado. Hoy hemos podido penetrar en sus redes a través de Internet, pero cualquier otro día será una filtración interna.

El capitalismo separa y enfrenta, y somos nosotras las que no tenemos nada que perder.

GPS, sistemas de comunicación, control, inspección de vehículos y conductores, matrículas, nombres, teléfonos, NIF, facturación, emisión de facturas, SMS y mensajería a los conductores, optimizador y planificador de rutas... Estos son tan sólo algunos ejemplos de los accesos que tenemos desde el panel de control. Y si lo tenemos nosotras, es porque cualquiera puede ;-)

¿Queréis saber desde cuándo tenemos acceso? A los cargos de responsabilidad de ACCIONA les recomendamos que contengan la respiración antes de seguir bajando el scroll. Lo que mostramos a continuación son unas capturas de pantalla que avalan lo antes afirmado, y desde cuándo estáis siendo vigilados entre incontables porros y no poca absenta. Es 4theLULZ, naturalmente, pero también un ejercicio para valorar cuán vulnerable es este país como coto de caza del neoliberalismo y lo expuestos que pueden estar ante un arma tan pacífica como un teclado.

Vamos a ver la matriz de acciona logística:

ISO 9001 Serious business! 😝

Apabulla, ¿eh?

Actividades de ayer día 14/05/2018. Pensamos enviar un mail, pero pensamos que era una putada para la curranta...

Una muestra pequeña de las rutas que realiza ACCIONA a diario y que pueden verse en la siguiente captura en bruto:

Seleccionamos una de ellas:

¿Mandamos un WhatsApp al camión indicando modificaciones de ruta...?

¿Creíais que sólo podíamos jugar al control con la matriz? xD

Todo esto, tan sólo es una muestra de cómo ACCIONA mantiene sus servicios de logística a través de un sistema IoT con GPS.

Cuando esto se publique, los equipos de respuesta a incidentes tecnológicos tanto del CERT como de otras empresas sabrán (estamos seguras de ello) que cuentan con las horas precisas para evitar que la catástrofe que pudiera provocar la incompetencia de ACCIONA en este caso sea mucho mayor. No es una competición CTF y el agujero es mayor de lo que aparentan las capturas.

Nosotras lo vamos a dejar aquí, guapis, no sin antes recordar que hoy que el espíritu del 15-M y del Mayo del 68 sigue vivo en muchas personas. Algunas seguimos en la acción directa a través del hacktivismo, pero no nos subestimen; ya saben que:

We are legion, We do not forgive, We do not forget, Expect us!

Inglorious /b/asterds

La Nueve de Anonymous

Queridas colegas y simpatizantes del hacktivismo y la (in)seguridad informática:

¡Esta vez sí que os hemos dejado con el culo torcido! Y es que hemos penetrado en el sistema mega-giga-tera-peta-hexa seguro de Microsoft. O no, ¡esperad! Que ya hace un tiempo fue comprometida su plataforma ofimática Office 365, algo que dio mucho que hablar. Y hace tan sólo un año, su plataforma cloud conocida como Azure. ¡¡La misma que ha vuelto a sufrir una vulnerabilidad en junio de este mismo año y a la que ahora hemos accedido nosotras!!

Concretamente, hemos penetrado en una cuenta de Indra Company que se encontraba en la nube de Microsoft. Y efectivamente, hemos permanecido 20 días dentro con derechos de administradoras: analizándola, configurando y desconfigurándola, utilizando sus redes corporativas y aplicaciones, generando algún que otro VPS... Si este es el panorama en Microsoft, para qué vamos a entrar a hablar de la seguridad informática del país en general. Absolutamente nefasta. Por eso nos entretenemos llevando a cabo tantas auditorías gratuitas :-D Como no nos cansaremos nunca de repetir y denunciar: la seguridad es el unicornio rosa del entorno binario.

En 2014, Indra contrató la plataforma de servidores en la nube de la gigante empresa de Bill Gates para aumentar la capacidad de gestión de sus servicios convirtiéndose en uno de sus socios más importantes. Y hoy, aunque con cautela, reconoce que uno de sus espacios virtuales en la nube ha sido comprometido.

La multinacional tecnológica española encargada de la comunicación del recuento de votos en tantas convocatorias electorales, tanto aquí como en otros países, pertenece al índice del IBEX 35 desde 1999, seis años después de su privatización con Felipe González al frente del gobierno de España. Su función en esta materia, una vez contabilizadas las papeletas de forma manual delante de interventores y apoderados de los distintos partidos tras el cierre de los colegios electorales, y elaboradas y comunicadas las actas, consiste en digitalizar los resultados. Por este motivo es tan importante la revisión de los resultados comunicados, actas en manos, por una comisión independiente.

Por este, y porque según los resultados de las investigaciones alrededor de la operación Lezo llevadas a cabo por la Guardia Civil Indra ha desviado 600.000 euros públicos al PP, el partido actualmente al mando del gobierno central. ¿Qué fiabilidad puede tener una de las principales responsables de la financiación ilegal de la organización criminal al mando del Estado español? ¿No le basta al PP con controlar la libertad de expresión y de pensamiento por medio de mordazas que tienen que hacerse también cargo de los resultados electorales ¿Y luego pretenden hablar de dictaduras y golpes de estado? ¿Con qué autoridad? ¿Con qué credibilidad?

Indra es, además, la principal contratista de la industria armamentística nacional y un nido de puertas giratorias del que pueden destacarse, entre otros, los casos de Pablo González Romero, primogénito de Felipe González; Josep Pujol Ferrusola, hijo de Jordi Pujol; y Pablo Gonźalez, hermano de Ignacio Gonźalez. Pero mejor que le echéis un ojo vosotras mismas al informe publicado por La Marea sobre este asunto.

¿Pero dónde hemos penetrado exactamente?

En iParticipa. Buceando en los servidores y aplicaciones de Indra conectados a la Red (que no todos lo están) nos llamó la atención el concepto de Cloud que se explica en la plataforma iParticipa (más información aquí y aquí), un proyecto en desarrollo que utilizaba Azure de Microsoft como centro de operaciones, diseño y programación de la idea.

Azure e iParticipa eran, además, dos escenarios con los que poder jugar al “Red Team” y darle un poco de caña a la gente de los “Blue Team” de respuesta inmediata ante ataques cibernéticos (guiño guiño) de los que tanto gusta alardear hoy a la señá Cospe y a Mariano. Nos armamos de paciencia y unas cajas de Coronas, y abordamos una auditoría a la corruptísima empresa del IBEX35. Y todo esto, por medio de un nuevo fichaje que, como la anterior becaria ascendida a redactora que escribe estas líneas, apunta maneras ;-)

¿Y por qué iParticipa?

La explicación sencilla es porque en una búsqueda somera detectamos una “vinculación” entre elecciones (electoral processes) e iParticipa, y porque era una plataforma concebida  para ofrecer a organismos, administraciones y empresas (gobiernos incluidos) un modelo de innovación con el concepto Cloud. Y además era la menos obvia, ya que parecía algo un poco dejado (y por lo tanto, con menos vigiliancia). Nuestra intención de origen era demostar que la seguridad de los sistemas de Indra adolece de los mismos defectos que otros, y que todos pueden ser vulnerados.

Que todo estuviera en un servicio externo cuyo proveedor era el imperio Gates nos complicaba un poco la acción a emprender debido al sistema de logueo. No era sencillo, pero existían vectores que poder explotar...

¡Al lío!

Un scaneo simple muestra algunos dominios interesantes:

https://azure.microsoft.com/en-us/status/

http://track.azure.com/

http://portal.azure.com/

https://azureplatform.azurewebsites.net/en-us/

http://azureinteractives.azurewebsites.net/

https://passwordreset.microsoftonline.com

La alerta temprana del CERTSI sobre Active Directory de Azure en junio de 2017 aquí explicada, constituía también otro vector a tener en cuenta. ¿Habría updateado Indra a la versión que corregía la CVE-2017-8613?

Una búsqueda con los términos “Powered by Indra” también nos dio orientación sobre los trabajos realizados hasta la fecha (Nota: después de tomar conciencia de nuestra entrada en iParticipa, Indra ha eliminado la mayoría de aplicaciones y conexiones a la plataforma, siendo sólo posible a la hora de publicar esto localizar algunas en la caché de Google).

The Harvester daba información sobre usuarios. Sabemos que Microsoft proporciona un dominio "onmicrosoft.com" en el formato [email protected] cuando se realiza una suscripción a sus aplicaciones online debido a la arquitectura de Share Point Online, luego vamos a tener una cuenta similar a:

iparticipa@<grupo_de_usuarios>.onmicrosoft.com

o

<usuario>@indra.es

Indra:

onmicrosoft:

El usuario random de la empresa "consultado" (y que vamos a mantener en nuestras alcantarillas) “respondió” facilitando el grupo de usuarios de Azure en la "casa" de iParticipa y que corresponde a indraadmin. La política de contraseñas de Azure venía a decirnos que tenía que ser alguna con 3-4 juegos de caracteres y mayor de 8:

#Ip4t1c1p4

@iPart1cipazure

4zur3@1p4rt1C1pA

...etc.

Ganado el acceso, quedaba explorar qué teníamos de valor en el pisito okupado.

1 - Vimos que no estaba muy actualizada y con errores graves de seguridad:

2 - Que teníamos acceso a la consola interna de Azure:

3 - Encontramos y descargamos los usuarios de Office 365:

4 - Gestionamos el almacenamiento en Azure:

Entonces, para que quede claro: ¿qué podíamos hacer?

Podíamos configurar servidores virtuales (MV/VPS) en diferentes sistemas operativos y utilizarlos como base para lanzar mailbombing, subir malware, webs para phising, etc.

En un princpio decidimos montar unas cuantas máquinas virtuales pensando que los administradores globales de Indra (grupo indraadmin) estarían pendientes de los logs y nos echarían pronto de allí. Probamos con nombres aleatorios y con distintas opciones: consola interna, ssh, ftp... y comenzamos a dar pistas en redes sociales jugando con la vigencia de los mensajes.

Al final montamos un VPS/MV con una distribución de Kali Linux con la que podíamos hacer pentesting desde IPs “confiables” y que utilizamos para testear distintos objetivos (entre ellos algunas de las auditorias realizadas esa quincena larga como la del caso Nagore). Por poder, hubiéramos podido hasta hacer diabluras que estarían firmadas por Microsoft e Indra... ¡Nosotras y a saber quiénes más!

Otra cosa que también resulta sencilla es utilizar la “seguridad” que ofrece la marca Azure de Microsoft para poner en un dominio azurwebsite una web clonada que simulara el logueo en cualquier aplicación conocida; un perfecto phishing en un host nada menos que de Microsoft. Por ejemplo, generando un acceso web de Apple, con su misma estética, solicitando login y contraseña. Y es que en la url aparece “azurewebsites.net”, lo que da confianza a la usuaria aunque lo que vaya delante no lo entienda o no sepa lo que es. Con esto se pueden conseguir todo tipo de datos como tarjetas de crédito, números de cuentas bancarias, usuarios y contraseñas de otras aplicaciones, números de teléfonos, etc. Por ejemplo se podría crear http://paypalscurity.azurewebsites.net, que con unas mínimas diferencias en el inicio de la url llevaría a la confusión de las receptoras del enlace desde una máquina confiable y segura a todas luces. ¿No se os ocurren otras posibilidades...?

http://movistar . azurewebsites.net/ http://bankia-seguridad . azurewebsites.net/ http://netflix-accounts . azurewebsites.net/ https://bbva-control . azurewebsites.net/ http://verifiedbyvisa-security . azurewebsites.net/

Ejemplo de acceso web de Apple:

Pero nuestras acciones nunca se basan en el engaño y utilización de técnicas para dañar a usuarias de Internet, así que en lugar de esas web montamos estas otras más inocentes:

Y no, no es un montaje: es un WordPress en la nube de Indra :-P

Concretando...

Indra no se percató de nuestra presencia en su Azure hasta que no recibió el oportuno soplo desde Twitter con el que contábamos, algo intencionado para demostrar ya de paso que la red social está más pinchada que el brazo de un yonki: hicimos comentarios por DMs sobre el tema, y esperamos a ver cómo se ponía en marcha la maquinaria en menos de un periquete. ¿El resultado? Tirar abajo toda su plataforma de iParticipa que entre otros desarrollos lucían así (y hoy ya no es accesible).

Esta “solución” era casi tan innecesaria como algunas de las obviedades de su comunicado, como por ejemplo la de que “la máquina virtual afectada no daba servicio a ningún cliente”. ¡Pues claro que no, imbéciles! La máquina la montamos NOSOTRAS y sólo nos lo daba a NOSOTRAS, que podíamos usarla como nos viniera en gana y así lo hicimos. Pero quienes nos conocéis, ya sabéis que casi nunca dañamos nada salvo la fama y el honor de quienes ya no lo tienen :-P

Queridas todas:

Nos gustaría hablaros desde un contexto menos tóxico, pero gracias a los políticos que tenemos al frente, tanto en Catalunya como en el gobierno de España, el ambiente en el que nos encontramos es de un odio ascendente. Lo hemos visto en nuestra tierra, y lo hemos visto en las calles de nuestras hermanas valencianas. Por no hablar del tiempo que lleva viéndose en puntos como Madrid o Zaragoza, donde los “Hogares Sociales” de los nazis han crecido notablemente en los últimos años mientras el grueso de la población optaba por mirar hacia otro lado. Y ahora es tarde, muy tarde... Estamos ante un fascismo normalizado que ha vivido su culminación en las declaraciones de Pablo Casado, diputado del gobierno de España, amenazando a Carles Puigdemont, president de la Generalitat, con acabar fusilado si declara la independencia. Lo decimos una vez más: si Pablo Casado hubiese querido decir que Puigdemont acabaría encarcelado le hubiese bastado con decir "encarcelado". La comparación con Lluís Companys no tiene nada de inocente. ¡Basta! ¡Basta ya de excusar todo tipo de agresiones!

No queremos alimentar una narración guerracivilista. Nos gustaría estar señalando otras cuestiones, como a muchas incluso omitir estos puntos concretos que estamos abordando, pero no es posible. Una cosa son las noticias orquestadas en una dirección claramente dañina, que ya es un asunto de extrema gravedad a denunciar, y otra muy distinta la insinuación del uso de la fuerza y su uso por parte del Estado. Es necesario hablar claro alzando la voz y frenar la deriva que han marcado los poderes establecidos.

El pasado 1-O tuvo lugar en Catalunya lo que para nosotras no es más que una performance: una declaración simbólica de la voluntad ciudadana. Exactamente igual que tantas votaciones que tuvieron lugar en las plazas de las ciudades de toda España a lo largo del 15-M. El pasado 1-O, la sociedad catalana ejerció su derecho a expresarse libremente. Otra cosa es que dicha expresión sea vinculante. Legalmente no lo es, como tampoco lo fueron todas aquellas votaciones llevadas a cabo durante el 15-M. No es vinculante lo votado, no es ilegal votarlo. No es ilegal votar. Ni muchísimo menos –y mucho más importante– es ilegítimo votar. ¿Es necesario recordar que vivimos en una democracia, no en una dictadura? Parece que sí, y ello es debido a la normalización de las expresiones fascistas anteriormente mentada.

Lo que tuvo lugar el pasado 1-O en Catalunya como respuesta a la performance de la población catalana fue la fuerza bruta del gobierno de España. Es cierto que la violencia policial no alcanzó la escalada vivida durante el desalojo de plaça Catalunya, por ejemplo, pero los modos fueron determinantes. El lenguaje, ya sea escrito, hablado o visual, no es inocente, como ya hemos dicho, y la estrategia del gobierno español pasó por introducir un cuerpo policial que alrededor de España, y especialmente en Madrid, se identifica como garante de los valores españolistas, en Catalunya para “cerrarle la boca” a su gente (que se encontraba votando, VOTANDO).

Nosotras no estamos a favor de la independencia, y mucho menos a favor de una independencia liderada por un político de un partido de derechas e ideología democristiana como CiU con semejante prepotencia. Estamos atónitas ante quienes desde los movimientos sociales están ovacionando este procés. ¿Y desde cuándo los #MossosAssassins son unos héroes...? Pero estamos absolutamente a favor del derecho a decidir de la gente. ¡No faltaría más!

La represión Estatal no tiene cabida, y mucho menos contra la libre expresión de un pueblo. Es necesario alzar la voz ante semejante barrabasada, y urge pararle los pies a toda expresión fascista. Abre bien los ojos, agudiza bien tus oídos y no te calles ni una. Ni en los grupos de WhatsApp con amigas, familiares o compañeras de clase o de trabajo, ni en casa, ni en la calle. Si hay una agresión, que haya una respuesta. Sólo una respuesta decidida de la gente de a pie ante tanta incompetencia política y el campar a sus anchas de tantos descerebrados con banderas puede conseguir evitar que lleguemos al abismo del enfrentamiento abierto. Nos manipulan a diario, cuestiona todo lo que veas y oigas en los medios al servicio de los poderosos. Y cuestiónaselo todo a las demás. Y organízate, que buena falta va a hacer.

Objetivo: iDental (Clínicas odontológicas low cost) URL: http://www.asistenciadentalsocial.com WAF/IDS: CDN de Incapsula Vulnerabilidad explotada: SQLInjection Bypas de WAF: Script Base64 Programación: PHP; Java DataTable para la paginación de resultados Base de Datos: MYSQL Hosting: OVH

En un primer análisis comprobamos que el dominio dirige a una IP asignada a una CDN (Red de distribución de contenidos): 107.154.80.47 de Incapsula Inc que actúa como WAF impidiendo escaneos con herramientas habituales. Un whois sobre el dominio nos indica que los datos de registro están protegidos y que el hosting pertenece a OVH en la IP 37.187.174.189

Profundizando un poco más sacamos el panel del servidor https://ns376142.ip-37-187-174.eu:8443/login_up.php3, un Parallel Plesk.

Pero, como en todo entramado digital, siempre queda un cabo suelto que nos permite ir tirando del hilo. En este caso se encontraba en el dominio ucsgestiona.com que fue registrado a nombre de identalglobal.com en marzo de 2015 por un tal José Arteaga. Tanto este dominio (identalglobal.com) como dentalglobaltraining.com, otra de las pantallas de iDental [y que, curiosamente, como la mayoría de los dominios analizados, se registran en la empresa Dinahosting y se alojan en el mismo servidor de OVH (NS3073618.IP-217-182-192.EU SDNS2.OVH.NET)], ocultan el whois. El dominio pricipal asistenciadentalsocial.com lo hace en el server NS376142.ip-37-187-174.eu SDNS2.OVH.NET como ya avanzamos.

La telaraña digital tejida por esta pandilla de estafadores “legales” es prolífica y os aburriríamos, así que sólo destacaremos algunas joyas:

http://trabajaenidental.com http://ucscapacita.org http://identalcarreraprofesional.com http://www.estudiantesanitarioresidente.com https://identalinnovacion.com http://identalnoticias.com http://www.sentrydoctor.com

Las empresas origen, llamadas todas “[Provincia] Union Dental”, provienen de los negocios iniciales de su fundador: DENTAL GLOBAL MANAGEMENT SL que a fecha de 31-3-2017 sigue ofertando empleo http://www.curraliaempleo.net/2017/03/10-vacantes-de-odontologia-en-toda.html y aparece también como administrador de MEDICAL GLOBAL INVESTMENTS SL -->> https://www.infoempresa.com/es-es/es/empresa/medical-global-investments-sl y Proyecto Neo Concept SL -->> https://www.infoempresa.com/es-es/es/empresa/proyecto-neo-concept-sl (de 2012).

La trama empresarial ya tiene sucursales en latinoamérica donde opera (caso de México) bajo los nombres de iDental, iClinic e iDoctor -->> http://somostusdentistas.com.mx En todos los casos se repite la secuencia OVH/Dinahosting en los dominios y la misma dejadez en la programación con bases de datos mysql y PHP -->> http://www.odontologiaaccesible.com.mx/test/php/test.html

Con la fórmula de asistencia social el negocio ha ido creciendo hasta tejer una red clientelar compleja digna de que la UCO le echara un vistazo. La política de comunicaciones, posiblemente a través de pagos publicitarios, es muy efectiva aunque ya vienen saliendo reportajes que tachan de estafa este invento.

Así las cosas, y con este pequeño fingerprinting, encargamos a nuestra becaria (ya ascendida) que se dispusiera a buscar vulnerabilidades de forma manual activando su imaginación con algunos canutos y Coronas, además de los sabios consejos de San Google, San Bing y otros santos de la Red.

La configuración de Incapsula impedía la utilización de scripts automatizados sobre la web, pero partíamos de un dato relevante: estaba programada en PHP con MySQL y en este tipo de código hay que ser un Wonder Developer para no dejarse alguna variable “colgando”. A la primera Corona y sin fumarse un miserable canuto, la becaria (casco número yanisesabe) caza una candidata a inyectarle cositas en la url vía GET.  El siempre amable y denostado: php?id=

Sí, queridas, ese que las script kiddies buscan como locas para poner jeringazos de consultas SQL. Nada menos que tres tipos de inyecciones posibles:

Bypasear el WAF con un script y atizarle nuestra amiga SQLMAP para que nos descubriera su flamante base de datos conteniendo una veintena de tablas cargadas de datos privados de sus más de medio millón de clientes repartidos por clínicas de toda España, fue el siguiente paso. Dumpearlas llevó también unas horas.

Tampoco le costó mucho descubrir los paneles de acceso ya que estaban (y siguen estando) en el archivo robots.txt

Eso y la tabla logintpv era suficiente para jugar un rato a hacerle endodoncias digitales a iDental...

(Naturalmente, el contenido de esa tabla fue modificado al hacerse público el hack y sustituido por otro después de haber filtrado correctamente el parámetro vulnerable).

Tanto las consultas a la base de datos como los accesos a los paneles de administración se realizaron a través de nodos especificamente seleccionados para evitar los Guard controlados o susceptibles de serlo. Ahora bien, ¿corrigieron o aumentaron las medidas de seguridad de servidores y bases de datos tal y como afirmaron en sus notas de prensa a los medios después de que canceláramos parte de las deudas de sus clientes? Pues algo han ido haciendo estos chicos, sí: además de corregir la vulnerabilidad SQLi y cambiar las passwords, han activado el protocolo https (443)... y poco más. Sabiendo como saben que la base de datos ha sido dumpeada, no han cambiado de aplicación ni suspendido temporalmente hasta que esos datos (contraseñas, expedientes, etc.) impidan a cualquier ciberdelincuente con intenciones aviesas seguir entrando a los expedientes de los pacientes 😋 ¡Sí!, estas capturas de pantalla que os facilitamos a continuación son nuevas como podéis ver en la fecha subrayada.

En el momento de publicar este How To, iDental no puede seguir tirándose el pisto que hasta ahora se ha tirado mintiendo a los medios y afirmando en comunicados que la pasarela de pagos y datos de sus clientes-pacientes están seguros y no pueden ser vulnerados. No, amiguitos... habéis hecho un mal trabajo informático como hacéis un mal trabajo en los sillones de tortura con los que sangráis a la gente que acude a vosotros.

Más os vale daros prisa en cambiar las aplicaciones. Sí, también la app móvil , que está hecha unos zorros y pemitiría “jugar” con Firebase-Google para “mejorarla”.

Y a vosotras, IT o Developers de UCS Gestiona, que ya imaginamos que os retribuirán como al resto de trabajadores de iDental (mal y poco), deciros que no hemos descubierto otros agujeros importantes que tenéis en vuestros desarrollos porque, aunque lo dudéis, os respetamos al igual que al resto de trabajadores. Respeto que tenéis mientras no seais cómplices de la gentuza que os emplea.

Una base de datos dumpeada (y os aseguramos que las vuestras lo están) exige un cambio inmediato de la información y modos de acceso a cualquier aplicación que las utilice. En tanto en cuanto no se haga, el acceso y la vulnerabilidad de las usuarias sigue estando sin resolver.

A quienes se han dirigido a nosotras: medios de comunicación, pacientes, familiares y activistas, unas pidiendo pruebas, otras ayuda, y algunas que extendiéramos nuestro radio de acción...  La novena compañía de Anonymous (guiño guiño), desde sus inicios allá por 2012, no practica un hacktivismo de telenovela o película de ficción de hackers. Ni realizamos acciones por encargo ni tenemos ninguna necesidad de ganar fama. Jamás podríamos sacar más partido de lo que hacemos que la propia satisfacción de seguir haciéndolo a nuestra manera. Y nos gustaría que entendierais un par de cosas: en un mundo avanzado tecnológicamente nadie es superior a nadie y los guardianes del sistema tendrán, como mucho, la misma información que aquellas que lo combaten si no cedemos en nuestra voluntad por el conocimiento libre y el trabajo bien hecho, a expensas de las órdenes de nadie. La competencia en el manejo de un lenguaje, como ocurre con el pensamiento, queda al margen de todo tipo de imposición.

Por desgracia, hay suficientes expertos en ciberseguridad en este país dispuestos a enrolarse en los ejércitos del ciberespacio o a colaborar con los chicos de las chapas y los chalecos amarillos. Pero tened en cuenta algo: el código, la programación, la información y la imaginación no entienden ni de uniformes ni de banderas. Cuando la tecnología se usa para aplastar al divergente, la tecnología ya está controlando al poderoso. El Gran Hermano sólo te vigila mientras tú no vigilas al Gran Hermano.

Be brave 😉

Inglorious /b/asterds La Nueve de Anonymous