Etiquetaprivacidad

Android Map: Conoce la ubicación de tu Access Point

Hace poco salió la noticia de que Apple, Microsoft y Google están rastreando a los usuarios de sus productos, guardando de forma pasiva los datos de geolocalización, y posteriormente subiendolos o sincronizandolos con algún servidor. Tambien me gustaría recordar la noticia que apareció hace un tiempo cuando se descubrió que los autos de Google que recolectaban imagenes para StretView tambien recogían información de las redes wifi que pasaban por el sector.

Ahora apareció “Android Map“, que según su autor:

exposes the data that Google has been collecting from virtually all Android devices and street view cars, using them essentially as global wardriving machines.

Cómo funciona?

When the phone detects any wireless network, encrypted or otherwise, it sends the BSSID (MAC address) of the router along with signal strength, and most importantly, GPS coordinates up to the mothership. This page allows you to ping that database and find exactly where any wi-fi router in the world is located.

Es sencillo, imaginemos que una persona pasa por fuera de nuestra casa o lugar de trabajo con un telefono con Android, éste escanea las redes wifi y las envia silenciosamente a Google, junto con la posición y otros datos más.
De esta forma podemos armar mapas como los que conseguimos haciendo Wardriving:

Prueben ingresando al sitio de Android Map y pongan la MAC de su AP, verán como en la mayoría de los casos les dirá la ubicación.

Uso de medios de comunicación seguros

Hace un par de dias apareció en las noticias que habían desarticulado a un grupo de personas que se dedicaban a traficar extasis desde Argentina, debido a esto apareció Patricio Rojas hablando en la televisión donde dijo, literalmente, lo siguiente:

no existe chat, no existe messenger, no existe mensaje de texto, ni llamada de telefono celular que no pueda ser intervenido

Seguir leyendo

[PoC] Cifrado del historial de bash (.bash_history)

El otro día, en mis momentos de ocio, se me ocurrio buscar una forma de cifrar el historial de comandos que guarda bash. Hay servidores que sólo tenemos -o hemos ganado- acceso como usuarios, y no nos gusta que el administrador (root) vea lo que hacemos o los comandos que hemos ejecutado. Existen varias formas de ir contra eso, por ejemplo eliminar el bash_history o bien editarlo cada vez que hacemos algo que no queremos que sepan. Esta forma es un poco mas rebuscada y busca cifrar mediante GPG el historial, de manera tal que el root no podrá leer lo que dice el archivo.

La logica es bastante simple:

  1. Cuando ingresamos (login) a nuestra cuenta desciframos el bash history usando nuestra clave privada
  2. Cuando salimos (logout) ciframos el archivo con nuestra clave publica.

Para lograrlo vamos a necesitar tener una clave gpg y configurar el comportamiento del login y logout con unos scripts que les mostraré a continuación.

Seguir leyendo

XSS en el sitio web de FeriaTicket y FeriaMix

FeriaTicket se dedica a la venta de tickets/entradas de eventos de todo tipo y FeriaMix vende libros y música, mediante el registro de usuario es posible realizar compras en línea en ambas tiendas. Ambos sitios web, pertenecientes a la misma empresa, están desarrollados por la misma empresa usando el mismo sistema web (framework, cms o como quieran llamarlo) y así mismo, comparten los mismos bugs y vulnerabilidades.

La vulnerabilidad en común corresponde a una del tipo Cross-Site Scripting (XSS) al no validar los parametros de la URL, permitiendo la inyección de código html o javascript arbitrario.
Especificamente, se encuentra en el script wspd_cgi.sh al no validar el valor que se le entrega a la variable wspd_cgi.sh.

wspd_cgi.sh/WService=<código malicioso>

No está demas decir que la vulnerabilidad permite redireccionar a un sitio distinto al de FeriaTicket o FeriaMix, pudiendo robar las cookies y suplantar la identidad de los clientes, accediendo a información privada. A pesar de lo que la empresa declara en su página relacionada con la privacidad y la seguridad:

Compromiso con la Seguridad
En relación a nuestro sitio web (www.feriamix.cl), Empresas Feria hace esta declaración de seguridad y privacidad en orden a demostrar y comunicar su compromiso con una práctica de negocios de alto nivel ético y dotada de los controles internos apropiados.

Protección de Datos
Nuestro sitio está protegido con una amplia variedad de medidas de seguridad, tales como procedimientos de control de cambios, passwords y controles de acceso fí­sico. También empleamos otros mecanismos para asegurar que los datos que nos proporcionas no sean extraviados, mal utilizados o modificados inapropiadamente. Esos controles incluyen polí­ticas de confidencialidad y respaldo periódico de bases de datos.

Puedo asegurar que no están cumpliendo con lo que dicen.

Seguir leyendo

Poca importancia de la privacidad de las personas en los Municipios

Especificamente, la Municipalidad de la Granja poco se preocupa de la privacidad y de datos personales de la gente. En este caso que les mostraré, aparecerá información personal de varias personas, quizá no es algo tan critico ya que no se revelan datos tales como contraseñas, direccion, etc, pero si nombres de personas asociados a otros tipos de datos personales que no deberían estar dando vueltas por internet a la vista de todos.

Esta municipalidad convocó a postular a una beca y posteriormente publicó los datos personales de todos los que la ganaron.

Esta es la URL con la que podemos acceder al PDF donde aparece la lista de seleccionados:

Cada vez es menos la preocupación de la protección de datos de las personas, así jamás podremos confiar en quien tiene algo de información de nosotros.

CFT Lota Arauco expone los datos personales de todos sus alumnos

Así es, el Centro de Formación Técnica “Lota Arauco” expone en su sitio web los datos e información personal de más de 3 mil alumnos.
Este ejemplo solo nos demuestra que nadie sabe donde irá a parar nuestra información, nadie nos asegura que los datos entregados a un tercero serán perfectamente tratados y que nadie más podrá acceder a ellos.



Los datos que podemos ver son el rut de la persona, fecha de nacimiento, nombre completo, dirección, celular, nombre del “apoderado”, numero de telefono del apoderado, rut del apoderado, dirección del apoderado, entre otros.

Esto es un atentado contra la privacidad de las personas.

EDITADO (26 de Agosto):

El archivo que contenia la informacion personal de todos los alumnos, y ademas informacion de todos los estudios y carreras, tanto como horarios, horas asistidas, etc correspondia a un “dump” de una base de datos ubicado en:
https://cftlotarauco.cl/cas/devel/database/old_migracion/registro_data_dump_explotacion.sql
El cual ya ha sido removido.
Yo no accedí a ningun sistema de información, simplemente a una URL publica, sin ningún tipo de restricción ni protección.

Me contactó el responsable actual del sitio web y me explicó que estos registros pertenecian a una base de datos antigua (hace un par de años) explicado la negligencia que cometió el encargado anterior y comentarme que lo había solucionado. Tambien me contó que una persona había intentado lucrar con la información de mi blog y que gracias a ello se dió cuenta que había información sensible expuesta en el sitio web.

Me parece increible que exista gente que quiera lucrar con el trabajo de otros, este personaje, quien buscaba el lucro mediante mi post, se llama Joan Calderon y su correo electrónico es joan.calderon@quanti.cc