i fought the law and the law lost

1. I fought the law and the law lost: Capítulo Final Mauro Eldritch @ DC 5411

2. Boot Sequence Una breve introducción

3. whoami plaguedoktor Mauro Eldritch - Cyber Security Architect. - Founder @ DC5411. - Speaker @ DEF CON Las Vegas (x6: Red Team, Hardware Hacking, Data Duplication, & Recon Villages), DevFest Siberia, DC7831 Nizhny Nóvgorod, ROADSEC Brasil, DragonJAR Colombia, P0SCon Iran, Texas Cyber Summit & Hacker Halted 2020. - He trabajado con: Ministerio de Producción, SecBSD, FreeBSD, Ministerio de Seguridad, Ministerio de Salud, Administración Federal, Ministerio de Economía.

4. README / CHANGELOG - El objetivo de esta charla es reseñar las vulnerabilidades informáticas en el ámbito de Fuerzas Armadas y Fuerzas de Seguridad en Argentina. - Este es el último capítulo de la serie I Fought The Law. - Contiene los capítulos anteriores y un nuevo capítulo de apéndices. - ⏩ Es por eso que para no reducir contenido, voy a tener que hablar un poco más rápido…

5. LICENSE - Toda información compartida aquí puede obtenerse mediante el uso de OSINT o ha sido filtrada públicamente por terceros. - Los autores no están involucrados directa o indirectamente con ninguna actividad ilícita.

6. INDEX - Esta charla se divide en cinco capítulos: - Proyecto X, donde contamos cómo una filtración reveló un supuesto aparato de espionaje estatal y terminó en escándalo nacional. - Campaña de Spear Phishing del Ministerio de Seguridad de la Nación: que culminó en la filtración del Sistema Nacional de Información Criminal (SNIC).

7. INDEX - Esta charla se divide en cuatro capítulos: - Policía de la Ciudad de Buenos Aires, donde un ciberataque culminó en una filtración total de la información de sus miembros. - Policía Federal Argentina, donde un ciberataque culminó en una filtración total de la información de sus miembros y familiares cercanos. - Apéndices varios.

8. Proyecto X Policía Federal Gendarmería Nacional

9. Proyecto X - La Policía Federal Argentina (PFA) sufrió los siguientes ataques: - “A.C.A.B” (2010) [Defacement]. - “PFA viste a la moda” (2011) [Defacement]. - “Proyecto X” (2012) junto a GNA [Defacement, Leak].

10. Proyecto X - ACAB (All Cops Are Bastards) - Ejecutado por el grupo ACABGANG. - Abusando un método PUT habilitado en el servidor. - La PFA escondió el evento y restauró la configuración original de su sitio, sin mitigar la vulnerabilidad. - El caso no llegó a los medios.

11. Proyecto X

12. Proyecto X - PFA viste a la moda: - Referencia a la película “The Devil Wears Prada” (“El Diablo viste a la moda”). - Nuevamente, se ejecutó abusando el método PUT. - El sitio mostraba una foto de un asistente a una marcha del orgullo gay vestido de policía. - Fue noticia nacional, llegando a la prensa especializada. La vulnerabilidad fue corregida.

13. Proyecto X

14. Proyecto X - Sabotaje al Proyecto X: - 2012 fue un año de tensiones políticas y protestas. - Existía el rumor (no verificado aún) de que la PFA y la GNA trabajaban juntos en un programa de vigilancia contra objetivos políticos (jueces, sindicalistas, líderes sociales) controlando sus movimientos e intentando instalar una agenda propia. Se llamó a este programa “Proyecto X”. - En Septiembre durante una marcha masiva (13S), el sitio de PFA sufrió un nuevo ataque.

15. Proyecto X

16. Proyecto X - El defacement mostraba links a bases de datos que contenían información tanto de agentes de la PFA como de la GNA. - Este dump despertó cierta paranoia y preocupación por la extraña coincidencia entre oficiales de ambos organismos. - Esta filtración se hizo viral y fue analizada durante meses. Muchos usuarios de internet utilizaron las credenciales filtradas para violar distintos servicios, incluyendo redes sociales.

17. Proyecto X

18. Proyecto X - Algunos usuarios reconocieron nombres en las bases de datos, descubriendo que no sólo contenía miembros de la GNA o PFA, sino también personal de los Ministerios de Justicia y Defensa. - En Reddit y en foros, la gente comenzó a realizar OSINT y a publicar las direcciones de los agentes involucrados, creando nuevos leaks (hijos del original). - Los passwords estaban guardados en texto plano, y la mayoría de los usuarios los había reutilizado en otros sitios. - Los archivos tenían extensión .mdb (MS Access).

19. Proyecto X

20. Proyecto X

21. Proyecto X - El atacante hizo un AMA en Reddit, donde explicó que logró ingresar al sitio mediante un template de ejemplo de subida de archivos incluído en el sitio, el cual abusó para subir una webshell. - Finalmente, el sitio lafederalonline.gov.ar murió y nunca más se volvió a oír de él o de Proyecto X.

22. Spear Phishing Min. de Seguridad Policía Federal

23. Spear Phishing - En Enero de 2017, la cuenta de Twitter de la Ministra de Seguridad fue hackeada, y su número de teléfono personal (no vinculado a la cuenta de Twitter) fue filtrado. - Un grupo de atacantes declaró haber hackeado más de 30 casillas oficiales (incluyendo la de Crimen Organizado) junto al Sistema Nacional de Información Criminal (SNIC).

24. Spear Phishing

25. Spear Phishing

26. Spear Phishing

27. Spear Phishing

28. Spear Phishing - Se filtró información crítica de tres grupos: - Del Sistema Nacional de Información Criminal, la información de todas las organizaciones criminales (y sus individuos), muchas aún en actividad. - De la casilla de Crimen Organizado, la información de Agentes y Oficiales asignados a tareas de inteligencia criminal. - De la casilla de Reportes, la información de ciudadanos denunciantes de situaciones complejas como connivencia policial o abuso.

29. Spear Phishing - Dos personas fueron encontradas culpables y procesadas. - Confesaron haber dirigido una campaña de Spear Phishing, comprometiendo ~30 cuentas. - Claramente, el error humano fue fundamental en este evento, sumado a la falta de MFA/2FA. - Quizás - con suerte - este evento serviría como punto de partida para pensar en la soberbia de los funcionarios y encarar una verdadera modernización de la infraestructura de seguridad…

30. Spear Phishing Es por eso que en 2017, se anuncia la creación de la policía más moderna del mundo. Ni más ni menos.

31. La policía más moderna del mundo Policía de la Ciudad

32. La policía más moderna... - Tras disolver la Policía Metropolitana en 2017, el Jefe de Gobierno Horacio Rodríguez Larreta anuncia la creación de la Policía de la Ciudad. - En sus propias palabras, ésta sería “La policía más moderna del mundo”.

33. La policía más moderna... - Problema: Pocos agentes (los miembros originales de la Policía Metropolitana). - Solución: Firmar un acuerdo de Traspaso Obligatorio de Agentes de la Policía Federal Argentina (Todo el país) a la Policía de la Ciudad (Municipal). - Problema: Al ser trasladados, éstos agentes federales perdían sus especialidades...

34. La policía más moderna... - Los Agentes Federales poseen especialidades de alcance nacional tales como Narcotráfico, Crímenes Económicos, Lavado de Dinero, Trata de Personas, Inteligencia Criminal, entre otras; que los agentes de la Ciudad no. - Por supuesto, esto generó un inmenso malestar entre el personal...

35. La policía más moderna... Esta nueva Fuerza contaría con novedades tecnológicas interesantes: - Oficiales: estarían equipados con teléfonos inteligentes con una ROM Personalizada. - Tracking: Saber su posición en todo momento. - Control: Indicar el comienzo/final de su ronda/turno. Buscar información de matrículas y números de DNI online. - Patrullas: Equipadas con computadoras o tablets. - Anillo de Seguridad Digital: Cámaras de Tráfico, Lectores de Patentes, Sistema de Reconocimiento Facial distribuído por la Ciudad.

36. La policía más moderna... - Todos los dispositivos y efectivos dependerían de un centro de mando central. - Apenas unos meses después, estas medidas tecnológicas comenzaron a fallar una a una. Analicemos estos fallos...

37. ¿Cómo sé que sos policía? Horrores SSL

38. La policía más moderna... - Todos los sitios de la Policía de la Ciudad compartían el mismo certificado SSL, causando un error de tipo Domain Name Mismatch y marcándolos como inseguros.

39. La policía más moderna...

41. La policía más moderna... - Los certificados son vulnerables a: - POODLE: CVE-2014-3566 (2014) - SLOTH: CVE-2015-7575 (2015) - DROWN: CVE-2016-0800 (2016)

42. La policía más moderna... - Las pruebas fueron realizadas con Comodo SSL Analyzer, Qualys SSL e Immuniweb SSL. - También usamos nuestras propias herramientas: - SeñorRosado.ps1 (Common Name Mismatch) - Lansky.ps1 (POODLE/SLOTH/DROWN) - Github: mauroeldritch/ifoughtthelaw

46. Estudiando el perímetro

47. La policía más moderna... - Uno de los sitios de la fuerza servía aleatoriamente el script de instalación de Drupal en “/”, permitiendo que cualquier visitante pudiera reinstalar la instancia y servir su propio contenido. - El resto de los sitios permitía Dir Listing, con lo cual se pudieron enumerar muchos scripts JS que aún contenían comentarios de los desarrolladores y métodos antiguos comentados, siendo una buena fuente de inteligencia. - Los directorios de subida de archivos (“/uploads”) también podían ser listados.

50. La policía más moderna... - Una instancia TinyMCE se encuentra disponible en el servidor. Sería posible activarla con un XSS. - Pero… ¿Dónde podríamos encontrar uno? - El sitio de Incorporaciones de la Policía de la Ciudad es heredado de la Policía Metropolitana: - PDLC: http://policiadelaciudad.gob.ar/inscribite/ - PM: https://web.archive.org/web/20161122044052/ http://www.metropolitana.gob.ar:80/inscribite/ - Durante 8 años este sitio fue vulnerable a un XSS (7 como PM, 1 como PDLC).

51. La policía más moderna... - Existen dos PoCs propios para probar esta vulnerabilidad: Dallas y Dillinger. - Github: mauroeldritch/ifoughtthelaw - Al abusar de este XSS, es posible encontrar un error SQL que indica la posibilidad de ejecutar una inyección SQL. Como éste trabajo es un reconocimiento pasivo, no se ahondará en la misma.

56. La policía más moderna... - Ninguno de los sitios implementó una solución Captcha. - Ni siquiera el gateway/firewall. - Por otro lado, el sitio de la Dirección General de Seguridad Privada contenía muchos mecanismos de acceso escritos en Javascript, del lado cliente. - La manipulación de estos mecanismos es muy sencilla.

64. Blue Phreaker

65. La policía más moderna... La Fuerza implementó teléfonos Android con una ROM Custom, para seguir, gestionar y controlar a los Oficiales. Muchos comenzaron a quejarse sobre errores en el sistema: - Algunos aparecían ubicados a 100 o 200 metros de su posición real. El sistema no les permitía comenzar su ronda por “estar demasiado lejos”. - Otros perdían totalmente la conectividad durante su turno, siendo marcados como “ausentes” o “servicio abandonado”. Cansados de no tener respuesta comenzaron a quejarse en grupos de Facebook y en otros sitios. Pero uno de ellos llevó la cuestión un paso más allá: Blue Phreaker.

66. La policía más moderna... Bajo el nombre de Blue Phreaker, un oficial publicó una serie de videos donde se lo veía violando el bloqueo de su teléfono. Algunos de estos videos mostraban: - La Información de Facturación de la cuenta de la Policía de la Ciudad (con un valor mayor al publicado). - Escalamiento de Privilegios para instalar aplicaciones, como KingRoot para obtener acceso root al dispositivo. - Utilizando los privilegios de root, se lo ve realizando un escaneo de todos los recursos en la APN de Policía, descubriendo varios dispositivos inseguros escuchando en puertos tales como Telnet o FTP, y varias impresoras (9200). - Contenido no cubierto en este trabajo.

70. La policía más moderna... Tiempo después, BluePhreaker publicó una serie de fotografías nuevas donde se lo veía manipulando una de las tablets integradas a los autos de patrulla. - La misma, al igual que los teléfonos inteligentes, posee un sistema “restringido” de la policía (similar a un kiosk). - Utilizando sólo gestos, logró invocar un teclado y posteriormente el Launcher original de Android, saltándose las restricciones. - En apenas unos minutos pudo tener acceso a una app llamada “VpnServer” donde residían certificados VPN genéricos (no asociados o restringidos a un usuario).

72. El incidente del subte

73. La policía más moderna... - Hace algún tiempo, una cámara del subterráneo conectada a un monitor falló y crasheó saliendo al Escritorio. En el monitor podía leerse un password en texto plano y un IP público (probablemente, el servidor de la cámara). - Esta información fue visible durante al menos tres horas, hasta que técnicos de la Policía de la Ciudad se hicieron presentes para mitigar el incidente.

75. Filtradores

76. La policía más moderna... - De la nada, aparecieron varios pastes en Pastebin conteniendo información como usuarios, emails y passwords en MD5 (No Salt) de distintos sitios policiales. - Estas credenciales pertenecían a recursos críticos de la Fuerza: - Sitio de Incorporaciones, el cual contenía registros médicos, psicológicos, religiosos, familiares y personales de cada Cadete, Oficial, Jefe y Personal Civil. - SSVCS (Subsecretaría de Vinculación Ciudadana con la Seguridad): Contiene denuncias ciudadanas sobre criminalidad con información identificable.

77. La policía más moderna... - La mayoría de los passwords filtrados son “123456” o combinaciones numéricas aún más sencillas... - Una buena cantidad de passwords correspondían a nombres propios. Cruzando la información de los usuarios con perfiles en redes sociales, es muy seguro afirmar que estos nombres hacen referencia a sus hijos.

80. Blogs, informantes y lavado de dinero

81. La policía más moderna... - En 2011, un blog anónimo expuso denuncias sobre lavado de dinero en la Policía Metropolitana, publicando teléfonos y casillas de correo oficiales de Jefes y Divisiones. - Estas cuentas son oficiales pero no institucionales (pertenecen a dominios como Gmail, Yahoo, Hotmail). - El sitio está activo desde hace años ininterrumpidamente, y es un excelente recurso para realizar OSINT.

83. Art Attack: Creando inteligencia a partir de millones de errores (collage)

84. La policía más moderna... - Finalmente, pasó:

88. La policía más moderna... “Tareas de mantenimiento”

89. La policía más moderna... - Y ahora ¿Cuál de todos los cabos sueltos podrían haber generado esto? - PFA + GNA Leaks (Proyecto X) - Campaña de Spear Phishing MinSeg/PFA - Leaks Policía Metropolitana/Ciudad - Inteligencia cruzada de todas las anteriores.

90. La policía más moderna... - Probemos cruzando los datos del Blog sobre Lavado de Dinero usando nuestra tool Bugsy.py, la cual conecta con la API de HaveIBeenPwnd. Este sitio nos notifica sobre usuarios, claves o direcciones de email que hayan sido filtrados en ciberataques. - También vamos a pasar por esta herramienta las direcciones de email de jefes de la fuerza, obtenidos del Organigrama disponible en el sitio del Gobierno de la Ciudad de Buenos Aires.

97. La policía más moderna... - Tres Jefes fueron comprometidos en filtraciones. Dos de ellos, civiles: el CIO de la Fuerza y el Subsecretario de Seguridad Ciudadana. - Buscando en RaidForums, se encuentran los dumps de esas filtraciones de forma gratuita. - Los dumps contienen claves hasheadas y hints (recordatorios de clave). - Los hints son “Mi hija”, para uno, “DNI” para el otro (Documento Nacional de Identidad, 10 dígitos o menos).

98. La policía más moderna... - En Argentina, a pesar de una pesada legislación al respecto, la información siempre es (mal)tratada como si fuese pública y acaba filtrándose. - ¿Qué pasa si Googleamos a alguien? Podés encontrar fácilmente su DNI, su CUIT (ID Fiscal), su Dirección Fiscal (A menos que sea una empresa, es su casa particular), e incluso… su categoría fiscal (cuánto gana, aproximadamente).

99. La policía más moderna... - Sitios como Dateas, BuscarDatos, BuscarPersonas, InformeMultiburo, CuitOnline y otros, contienen esa información e incluso mantienen un historial de cambios.

100. La policía más moderna... - Retomando, con el dump de RaidForums a mano tenemos dos cuentas, dos hashes, y dos hints: - “Mi hija” - “Mi DNI” - Vamos por la fácil primero, el DNI de la cuenta l***perin@gmail.com (Subsecretario Seguridad Ciudadana). - Vamos a recurrir al sitio BuscarPersonas para buscar esta información.

102. La policía más moderna... - Separando el CUIT (ID Fiscal) por los guiones “-” podemos obtener el DNI. - Ejemplo: - Mi CUIT: 20-36999222-1 - Mi DNI: 36999222 - Listo, si yo fuera un ciberdelincuente carente de afectos, valores y escrúpulos ya habría podido acceder a la cuenta personal del Subsecretario de Seguridad Ciudadana y solicitar “claves olvidadas” de otras plataformas.

103. La policía más moderna... - Vamos por la siguiente. - Ahora, busquemos el nombre de la hija del CIO. - Para esto, debemos conocer primero su dirección fiscal... - Luego, buscaremos esa dirección, para ver cuánta gente está asociada al mismo domicilio (y probablemente viviendo bajo el mismo techo). - En caso de encontrarnos con un edificio o un barrio cerrado, lo filtraremos por apellido.

105. La policía más moderna... - Cinco personas con el mismo apellido viven en la misma puerta. Tres son mujeres. Hagamos prueba y error. - Calculamos los hashes correspondientes a los nombres de las tres mujeres, para ver si coinciden con el hash del dump. No intentaremos un login con esas credenciales. - Al primer intento, encontramos una coincidencia. Los hashes son públicos bajando el dump. - users.tar.gz Linkedin dump (SHA-1 No Salt).

106. La policía más moderna... - ¡Momento! ¡No probaste los hashes de la cuenta del Subsecretario! - Esto es algo vergonzoso de admitir - no para mí - pero todos los dumps donde se encuentran cuentas del Subsecretario contenían claves en texto plano.

107. Apéndices Piratas del Caribe

108. La policía más moderna... - Cabe mencionar que durante las filtraciones, el warez podría haber tenido algo que ver... - De acuerdo al tracker IKnowWhatYouDownload, el gateway de la Policía fue visto compartiendo y descargando archivos vía Torrent con otros usuarios alrededor del mundo, incurriendo en el delito federal de Piratería.

112. El robo al banco

113. La policía más moderna... En Abril de 2019, muchos oficiales de la Fuerza denunciaron haber sufrido varios descuentos en su cuenta bancaria. - Muchos vieron la totalidad de su salario descontado. - Tras una investigación interna, descubrieron una banda especializada que se dedicaba a computar préstamos bancarios falsos a policías, utilizando información filtrada anteriormente para fraguar los mismos.

116. La policía más moderna... Respuesta del Banco: - Alguien les cedió el Código Bancario Uniforme a la financiera que les está cobrando. - El banco no es responsable. No participamos de ese acuerdo entre privados. - Quéjese con la financiera. [¿De dónde salieron estas capturas?] Si, de un grupo de Facebook. Abierto.

117. Apagón

118. La policía más moderna... - ¿Se acuerdan cuando mencioné que todos los Oficiales y Máquinas dependían de un Centro de mando único punto de fallo? - A fines de 2019, hubo un gran apagón en el Anillo de Seguridad Digital que lo dejó totalmente noqueado. Lectores de patentes, cámaras de seguridad, sistemas de reconocimiento facial, teléfonos inteligentes, todo había muerto. - Pero no termina ahí. Los Oficiales filmaron todo el suceso desde adentro, publicándolo en Facebook... FILTRANDO. INFORMACIÓN. OTRA. VEZ.

120. Falso Positivo

121. - Pero ese no fue el último fallo del Anillo Digital de Seguridad... - A fines de 2019 el Sistema de Reconocimiento Facial marcó erróneamente como criminal en busca y captura a un transeúnte inocente. - Fue detenido por error por seis días... La policía más moderna...

123. And the law lost... Policía Federal (Otra vez)

124. And the Law Lost... - En el 2019, la Federal sufrió un hackeo masivo. - Se publicaron 700GB de información sobre Agentes de Drogas Peligrosas y sus familias, ya que los atacantes tuvieron acceso al registro de seguro médico familiar de los efectivos. - También, escuchas telefónicas fueron filtradas.

125. And the Law Lost...

129. And the Law Lost... El atacante hizo un AMA en Reddit pero no explicó el vector de ataque utilizado.

130. And the Law Lost... Es así como llegamos al día de hoy, diez años después, habiendo recorrido un largo camino de negligencia, soberbia, y muchos - demasiados tal vez - passwords en texto plano.

131. init 0 Conclusiones, Agradecimientos, Q&A

132. init 0 - Conclusiones: - No estamos seguros digitalmente. Quienes deben velar por nuestra seguridad, tampoco. - Internet jamás olvida. Ni siquiera esos leaks de hace un par de años, aunque no te parezcan importantes. La inteligencia abierta es tan útil e importante como cualquier otra disciplina de nuestra profesión. - Lemas como “la policía más moderna del mundo” pertenecen al marketing (y al más barato), no a la Seguridad (Informática o de cualquier tipo).

133. init 0 - Agradecemos a todo el equipo de DragonJAR.

134. init 0 - Síguenos en @ Mauro Eldritch - github.com/mauroeldritch - twitter.com/mauroeldritch DC5411: - @DC54111 - Github.com/dc5411

135. init 0 ¿Preguntas?

i fought the law and the law lost

You are reading a preview.

Check these out next

i fought the law and the law lost

More Related Content

Slideshows for you

Similar to i fought the law and the law lost

More from Jaime Restrepo

Featured

Related Books

Related Audiobooks

i fought the law and the law lost