El pasado 12 de Diciembre cerramos el año de la mejor forma posible, con un evento que juntó a profesionales de seguridad y hackers durante un día entero. El evento estuvo fantástico y estuvimos a sala llena. Les dejamos aqui un resumen de lo que se vivió:
El título hace referencia a SET (Social Engineering Toolkit), ya que en reiteradas y comprobadas ocasiones, facebook actúa como plataforma de propagación de phishing.
Una vez más, hemos detectado un modesto y permisivo error de diseño por parte de Facebook que permitiría a un atacante, generar un vector de propagación de phishing. Nuevamente, no hay reportes hasta el momento sobre el mal uso de dicha funcionalidad.
Anteriormente publicamos 1 artículo que se relaciona directamente con este ataque: Ingenieria Social A traves Del boton “Me Gusta” , si no lo leyeron todavía, los invitamos a hacer una revisión rápida para una mejor comprensión de las posibles combinaciones.
Como se detalla en el artículo anterior, un atacante puede hacerse del fallo de diseño para aumentar la confiabilidad y reputación de una nota, para luego modificarla y publicar links con contenido malicioso en ella. En este caso particular sumamos la posibilidad de generar 2 nuevos aditivos que hacen más “Llamativa” la nota a la hora de hacer click sobre un supuesto link inofensivo.
En primer lugar, podemos insertar fotos en la nota, algo conocido ya hace mucho tiempo. En nuestro caso fuimos capaces de insertar la imagen desde una URL externa utilizando sobre la nota código HTML.
Ejemplo:
<img SRC=”http://www.mkit.com.ar/imagen.jpg” alt=”imagen”></img>
En segundo lugar, a base de prueba y error, logramos insertar un “a href” con la posibilidad de moficar el nombre del hipervinculo.
Ejemplo:
<a href=”http://www.dominiomalicioso.com/malware.exe”>http://www.mkit.com.ar/blog</a>
Nuevamente, un atacante puede “Esconder” gracias a estas funcionalidades, su redirección a un sitio contaminado o bien con algún engaño elaborado para hacer que el usuario caiga en su trampa.
En las pruebas de rutina del funcionamiento del “Posible” ataque, logramos comprobar cierto comportamiento:
También podríamos utilizar Short URLs para ofuscar un poco más la lectura de la barra de estado para evitar a aquellos usuarios que prestan un poco más de atención.
En este caso particular, seleccione un tema de interés del momento para comprobar la curiosidad del usuario. La redirección se hace hacia un script dentro de este mismo dominio que lleva la cuenta de los visitantes para medir el impacto que tendría si publicáramos contenido malicioso.
En un conjunto aproximado de 300 nodos, un día lunes 1:30 de la madrugada, a tan solo 40 minutos de la publicación, este es el resultado Parcial:
Actualizacion Lunes 10:25 A.M:
Ya este numero implica aproximadamente el 15% de mis contactos.
Por más que mis contactos confíen en mi y sé que por esa misma razón entran sin preocuparse (espero al menos..), hay que crear un habito en el usuario para suplir las falencias a nivel de diseño por parte de las aplicaciones de hoy en día.
En este caso, es una cuenta personal, con pocos nodos. Imaginemos si la cuenta de alguien con más de 1000 contactos fuese robada! En cuestión de minutos un atacante seria capas de robar cientos y cientos de datos o bien comprometer esa cantidad de equipos.
Posible solución:
No permitir al usuario utilizar HTML tags en la creación de notas: Ciertamente, es poco “estético” dejar la URL cruda sin cambiar su nombre. Sin embargo, podría hacerse una diferenciación entre usuarios “Corporativos” y “Regulares” y dar permisos extras a los primeros que muy probablemente hagan buen uso de dicha funcionalidad.
Concientizar al usuario: Visto el “Avance” de los vectores de phishing anteriormente denunciados, creemos que en este y en la mayoría de los casos, la forma más eficiente y eficaz de evitar un ataque, es disciplinar al usuario e inculcar poco a poco las practicas seguras a la hora de navegar tanto en las redes sociales como en cualquier red. La lectura de la barra de estados sigue siendo de extrema importancia ANTES de hacer click sobre CUALQUIER HIPERVÍNCULO.
Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina
En esta ocasión Facebook vuelve a ser objeto de estudio como vector de ataque de ingeniería social.
Seguramente la mayoría esta familiarizado con la Publicación de “Notas” y la escritura de comentarios al “Pie de Foto” , dentro del monstruo de las redes sociales.
Comenzamos Teorizando la posibilidad de dar “Validez“, “Credibilidad“, “Opinión Pública Virtual Positiva“, mediante el uso del botón “Me Gusta“.
Cuántas veces nuestra curiosidad fue víctima de este fenómeno?! Navegando vemos un comentario,una nota ,una foto , que tiene una gran cantidad de “Me Gusta” y entramos a ver por pura curiosidad! que tan bueno puede ser que a tanta gente le gusta (?) ?! Que podría pasar si ya muchos lo hicieron o vieron ?
Comenzamos publicando una Nota en mi Muro con el siguiente contenido:
” Hola, necesito ayuda del público de Facebook para poner “Me Gusta” sobre esta nota para comprobar una teoría!
Gracias por colaborar!!!
Atte. Gustavo Nicolas Ogawa “
La idea principal era conseguir reputación sobre el contenido publicado mediante la aceptación por parte de los integrantes de la Red Social.
Una vez lograda una cierta cantidad importante de seguidores, procedemos a modificar el contenido de la publicación mediante el botón de “EDITAR” de la nota en cuestión… y ACÁ es donde reside el gran fallo de diseño , control y flujo de la información de FB … Nos permite la modificación del contenido a posteriori de la nota sin advertir a los seguidores sobre dicha actualización !! Con lo cual, estaríamos decidiendo arbitrariamente que es lo que “LE GUSTA” a nuestros seguidores, y también, dando un valor agregado de validez a la información modificada.
Por ejemplo podría modificar la nota de la siguiente forma :
Si comprobamos los links, vamos a ver que son EXACTAMENTE idénticos como también lo es la FECHA de creación de la nota. Solo para aquéllos que crean esto está “Photoshopeado” como dicen hoy en día.
La información no había sido nunca antes leída por ninguno de aquéllos que dicen gustarle .. y sin embargo, Facebook, afirma que ese conjunto de personas, está de acuerdo con la información proporcionada.
O bien.. podría publicar un link malicioso, y de ahí en adelante simplemente esperar a que la curiosidad gane por goleada… todos conocen el dicho “Curiosity kill The Cat” que se aplica perfectamente a esta situación.
Y que tal si YO tuviese una PÁGINA de FB y publico contenido mediante las “Notas” y luego modifico la información.. No podría de esta forma acrecentar la opinión pública sobre lo que YO quisiera?
No es cierto que la verdad se hace “válida” y verdadera por consenso ?
Claramente, nos situamos frente a falacias del tipo “Cum Hoc, Ergo Propter Hoc“ y “Post hoc, ergo proter hoc”
Ergo, entro en el enlace MALICIOSO … Gracias FB por fallarme una vez más -.-
“La reputación no es causal de la seguridad, ni la seguridad causal de reputación” … o al menos queda demostrado que en ciertos lugares, no DEBERÍA ser así .
Dejo todas las respuestas a criterio de cada uno .. Esperemos que los desarrolladores de Facebook continuen haciendo su trabajo tan bien como lo hicieron hasta el momento (?)
Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina
