eGarante: Tú no tienes poder aquí

¡Saludos, yonkis del terminal!

ACTUALIZACIÓN

A raíz de una conversación a través de la lista de correo Navaja Negra debemos de actualizar este post para que queden claras un par de cuestiones:

- Pedimos disculpas si la imagen de eGarante ha podido verse empañada. Suponemos, que siendo internet, todo acaba magnificándose. Las formas no han sido adecuadas, y reconomenos nuestro error al publicar sin consultar previamente.

- Por otra parte, tal y como Yago ha contestado por correo:

(...) descartando el caso de la auto-modificación, y que sea un tercero quién está haciendo 'técnicas anti eGarante', tienes un formulario para reportar el site y pedir otra captura desde otra ubicación y otras herramientas.

Nosotros te haremos llegar otra captura que sea fiel a lo que se ve desde un navegador / ubicación normal. Tenemos otros equipos y otras herramientas para ese tipo de casos.

- Por lo tanto, lo mencionado en este post es meramente anecdótico puesto que existen otras vías para poder obtener una captura válida.

- El post no será borrado (y se mantendrá tal cual, salvo por esta obvia actualización) en arras de mantener el original. Pero téngase en cuenta que es eso, una mera anécdota.

- Lección aprendida: más vale un correo a tiempo.

----------

Estábamos @TheXC3LL y yo divagando cerveza en mano sobre lo útil de la herramienta eGarante para poder certificar e-mails cuando nos hemos percatado de que la Guardia Civil la estaba utilizando para tomar evidencias de páginas webs y acompañar de esta forma las denuncias (https://www.guardiacivil.es/en/prensa/noticias/4981.html).

A la cabeza nos ha venido diferentes escenarios donde esta funcionalidad es interesante como por ejemplo webs con promociones fraudulentas, casos de acoso a través de foros, etc. Al mismo tiempo, y supongo que esto serán gajes del oficio, estuvimos pensando de qué forma podríamos evitar que eGarante pudiera tomar una evidencia válida.

La verdad es que la idea más sencilla es la más efectiva: mostrar un contenido diferente cuando eGarante visitase la web. Es un truco viejo que lleva utilizandose para hacer "Black SEO" desde tiempos inmemoriales, no estamos descubriendo nada nuevo.

Leer mas...


Análisis de APPs: Vulnerabilidades en Bankia

Llevo perdida la cuenta sobre la cantidad de aplicaciones móviles que he analizado, y de ellas, un gran número acceden a un servidor para recoger datos y mostrarlos en la app. La mayoría de estos servidores acaban teniendo algún tipo de vulnerabilidad, en muchas ocasiones de carácter grave, que podrían comprometer de forma muy seria el servidor en cuestión.

Esto hasta cierto punto puede ser entendible, bien por que sea una aplicación pequeña con un solo desarrollador que por limitaciones no puede estar en todos los temas (que sigue sin ser una justificación), o por que los desarrolladores confían en que a ese servidor se accederá únicamente a través de su aplicación, sin caer en la cuenta de que realmente será accesible por cualquier persona.

Sin embargo, hay ciertas limitaciones, y la gota que colma el vaso es que ciertas aplicaciones "importantes" (bancos, como en este caso), pequen de estos fallos, cuando tienen a su disposición todos los recursos para evitarlos.

Recientemente he estado analizando aplicaciones bancarias, empezando por la de Bankia. Esta aplicación accede a servicios alojados en el servidor "m.bankia.es", utilizando SSL siempre que maneja datos de los clientes. Sin embargo, también realiza peticiones al mismo servidor para recibir otros tipos de datos (noticias, productos, últimos tweets, etc), pero esta vez de forma no segura, enviando y recibiendo todo el contenido en texto plano.

Leer mas...


[#Insanity Writeup] nullc0n 2k15 HackIM

Feliz año! :D

Aquí tenéis el writeup de nuestro primer CTF del año, el nullcon HackIM.

Podeis escoger la Versión PDF o seguir leyéndolo aquí ;)

Leer mas...


[Writeup] NavajaNegra 2k14 CTF

Durante los días 26 de septiembre hasta el 1 de octubre se realizó el CTF de NavajaNegra, la participación era solitaria, sin equipos, así que algunos miembros del grupo Insanity decidimos realizar susodicho CTF.

El resultado final a sido el siguiente Writeup:

Descargar/Ver Writeup

Thankyu!

Leer mas...


[#Insanity Writeup] NcN2k14 CTF Quals

Un CTF entretenido, gracias a los organizadores :)

Este es un writeup de como creemos recordar haber pasado las pruebas, ya que no fuimos apuntando los flags ni algunos de los pasos que seguimos. Puede que no sea del todo verídico, y que la cerveza tenga algo que ver con ello.

Leer mas...


Página 1 de 4 Siguiente