Hackear Gmail y MD5, trucar encuestas, y troyanos en PDF’s que no descubre ningún antivirus

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirus

Ángel Prado Montes, ex empleado de Microsoft

Ayer estuve en una sesión con Ángel Prado Montes, sobre seguridad informática. Me gustó mucho y le invité como ponente a la siguiente edición de “Creo en internet“. Hizo 4 demos en directo, respondiendo a algunas preguntas que muchas veces nos hacemos ¿como hackear una cuenta de gmail? ¿como hackear gmail? ¿como hackear gmail?:

Hackear Gmail: como hackear una cuenta de Gmail

    • Este hackeo sólo pueden hacértelo si entras en una cuenta de Gmail en un dispositivo ajeno: el ordenador de otra persona, una blackberry que te deja un amigo, o un iPad de la Apple store.
    • Después lógicamente no dejas la sesión de Gmail abierta, sino que sales de la sesión: logout. De modo que no se puede volver a entrar desde el navegador.
    • Pero Gmail almacena en los ordenadores o iPhones un archivo con los últimos mensajes, contactos visitados, etc. Esto le permite trabajar cuando se pierde la conexión unos segundos.
    • Se puede acceder a esta base de datos almacenada en el ordenador pulsando F12 en Chrome, que abre una consola para desarrolladores y nos indica su ubicación.
    • Para evitar esto hay que borrar la cache, datos privados y cookies del navegador tras hacer el logout.
    • En el iPhone hay que ir a: ajustes, safari, avanzado, datos de sitios web. Y ahí borrar las bases de datos que tiene descargadas (se puede ver perfectamente el tamaño de las bases de datos de gmail, llamadas mail.google.com y m.google.com).
    • Conclusión: no entres en tu cuenta de correo desde un ordenador o dispositivo que no sea de tu total confianza.

Trucar encuestas de diarios online

    • Consideramos sólo encuestas de medios serios y seguros (como elmundo.es o elpais.com), no de páginas fácilmente hackeables.
    • En las encuestas online de estos periódicos “seguros”, puedes hacer un voto por navegador. Es decir, si abres la web de la encuesta con Explorer, puedes hacer un voto (aunque si clicas rápido con el ratón, puede llegar a contar 2 votos). Luego si sigues votando con Explorer, los votos ya no cuentan. Si abres Mozilla, puedes volver a hacer un voto que cuenta (si vas rápido clicando, hasta dos). Otro voto con Firefox, otro con Opera, otro con Safari… y tantos como navegadores.
    • Pero Ángel Prado Montes nos demostró en directo cómo hacer un programa que se conecte por shokets a la web y simule ir cambiando de navegador continuamente, para poder hacer 15.000 votos de golpe.
    • Aquí tenéis el resultado: 17.000 de los 23.000 votos a favor de poner el límite de velocidad a 140 Km/h en las carreteras, y menos de 3.000 para las demás opciones.
    • Este mismo método le sirvió a Ángel para ser uno de los 10 gallegos del año 2011. Fue el que más votos sacó en la encuesta online. El segundo fue el ex-ministro José Blanco 😉
    • Conclusión: no te fies de las encuestas online. Son manipulables.

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirusObtener contraseñas de cuentas de correo masivamente

    • Anonymous publicó recientemente datos de 100 millones de usuarios de SONY (Play Station). Publicó la base de datos con e-mails, contraseñas hasheadas en MD5 (encriptadas), direcciones postales, etc.
    • Estos datos ya no están disponibles en ninguna de las webs en que estaban disponibles, porque el FBI ha pedido que se retiren.
    • Ayer, Ángel los encontró en directo buscando en Google en un dominio .cc: de las islas Coco, que no están bajo la jurisdicción del FBI 😉
    • Descargamos los datos (tardaron un rato en descargarse) y empezamos a sacar las contraseñas hasheadas en MD5 con un diccionario con las contraseñas más frecuentes y variaciones sobre las mismas
    • Usamos HashCat, para sacar las contraseñas. Probamos con las primeras 100.000 y el programa sacó en 5 minutos más de 40.000 contraseñas y segía trabajando para sacar las demás
    • Para sacar una contraseña en particular escondida tras un MD5 el método más rápido es poner la contraseña encriptada en Google: siempre hay alguien que la ha desencriptado y puedes ver la contraseña que hay detrás. Lo probamos y funcionó a la primera 🙂
    • Luego basta con probar esas contraseñas, que se había hecho la gente en sus cuentas de SONY, para ver si entran en sus cuentas de correo… porque la mayor parte de la gente tiene la misma contraseña de su correo en otros servicios de internet.
    • Conclusión: no pongas la contraseña de tu cuenta de correo en otros lugares de internet (foros, blogs, banco, etc)

Generar o desenmascarar virus, que no encuentre ningún antivirus

  • Como sabéis, se pueden meter virus no sólo en documentos de office (word, excell, ppt, etc), sino también en imágenes o en documentos pdf
  • Ángel Prado Montes tenía un documento pdf que era una hoja en blanca y ejecutaba un virus nada más abrirse
  • Subimos el pdf a Virus Total, que es una web que te analiza los archivos con los 20 antivirus más conocidos. Y de los 20, 19 no detectaban nada raro. Y 1 de ellos decía que tenía scripts en su interior, sin detallar si eran dañinos o no.
  • El troyano que tenía ese pdf se manejaba desde Black Hole: un exploit kit que permite administrar los ordenadores que están infectados por tu virus-troyano. Más abajo tenéis la interface del programa: saca estadísticas de los ordenadores infectados por tus virus, porcentaje de infección, país de procedencia, sistema operativo, nevegador, etc.
  • El troyano funcionaba con 4 scripts ofuscados uno dentro de otro… parecido a la película Inception. Pero los antivirus sólo suelen analizar el primer nivel de ofuscación, no entran a los 4 interiores. Por eso no detectan este tipo de virus.
  • Como suelen infectarse un 10% de los que reciben este tipo de virus en scripts tan ofuscados, basta con mandar mensajes a 10.000 personas, para tener 1.000 ordenadores zombies a tu servicio.
  • El 4º script ofuscado, al ejecutarse, llama a una ip y desde allí se descarga un ejecutable, que empieza a correr en el ordenador víctima y ese ordenador ya está controlado.
  • Conclusión: no abras adjuntos que llegan de desconocidos.

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDFs que no descubre ningún antivirus

Conclusión general: internet no es territorio seguro, como ya avisó Chema Alonso en Creo en internet.

También te pueden gustar estos artículos sobre seguridad informática:

Hackear Gmail y MD5, trucar encuestas, y troyanos en PDF’s que no descubre ningún antivirus
3 (60%) 4 votos