Mauro Cáseres «plaguedoktor» nos compartió en el #DragonJARCON 2020 una charla titulada "I fought the law and the law lost" cuya descripción es:
Es una serie de charlas que apunta a relevar y publicar vulnerabilidades informáticas de Fuerzas Armadas y de Seguridad de Argentina.
Entre sus distintos capítulos se han recopilado unas 50 vulnerabilidades críticas de las fuerzas de seguridad y armadas requisadas hasta el momento, incluyendo pero no limitándose a Gendarmería Nacional Argentina, Policía Federal Argentina, Policía de la Ciudad de Buenos Aires (llamada \"la más moderna del mundo\") y hasta organismos de gobierno como Ministerio de Defensa, Ministerio de Justicia, Ministerio de Seguridad y Secretaría de Inteligencia.
Se cubren temas como ataques hacktivistas; filtraciones internas de agentes de fuerzas; ataques organizados políticamente; la divulgación de bases de datos de Crimen Organizado (narcotráfico, trata de personas, entre otros) conteniendo información de denunciantes, testigos de identidad reservada, oficiales encubiertos e investigaciones de inteligencia en curso; el robo de las bases de datos del Sistema Nacional de Información Criminal; y hasta el hackeo a la Ministra de Seguridad, sumando al menos, un repaso de unos 25+ casos durante la charla, todos con su debida evidencia técnica.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
3. whoami
plaguedoktor
Mauro Eldritch
- Cyber Security Architect.
- Founder @ DC5411.
- Speaker @ DEF CON Las Vegas (x6: Red Team, Hardware Hacking,
Data Duplication, & Recon Villages), DevFest Siberia, DC7831 Nizhny
Nóvgorod, ROADSEC Brasil, DragonJAR Colombia, P0SCon Iran,
Texas Cyber Summit & Hacker Halted 2020.
- He trabajado con: Ministerio de Producción, SecBSD, FreeBSD,
Ministerio de Seguridad, Ministerio de Salud, Administración
Federal, Ministerio de Economía.
4. README / CHANGELOG
- El objetivo de esta charla es reseñar las vulnerabilidades
informáticas en el ámbito de Fuerzas Armadas y Fuerzas de
Seguridad en Argentina.
- Este es el último capítulo de la serie I Fought The Law.
- Contiene los capítulos anteriores y un nuevo capítulo de
apéndices.
- ⏩ Es por eso que para no reducir contenido, voy a tener que
hablar un poco más rápido…
5. LICENSE
- Toda información compartida aquí puede obtenerse
mediante el uso de OSINT o ha sido filtrada públicamente por
terceros.
- Los autores no están involucrados directa o indirectamente
con ninguna actividad ilícita.
6. INDEX
- Esta charla se divide en cinco capítulos:
- Proyecto X, donde contamos cómo una filtración reveló
un supuesto aparato de espionaje estatal y terminó en
escándalo nacional.
- Campaña de Spear Phishing del Ministerio de
Seguridad de la Nación: que culminó en la filtración del
Sistema Nacional de Información Criminal (SNIC).
7. INDEX
- Esta charla se divide en cuatro capítulos:
- Policía de la Ciudad de Buenos Aires, donde un
ciberataque culminó en una filtración total de la
información de sus miembros.
- Policía Federal Argentina, donde un ciberataque
culminó en una filtración total de la información de sus
miembros y familiares cercanos.
- Apéndices varios.
9. Proyecto X
- La Policía Federal Argentina (PFA) sufrió los siguientes
ataques:
- “A.C.A.B” (2010) [Defacement].
- “PFA viste a la moda” (2011) [Defacement].
- “Proyecto X” (2012) junto a GNA [Defacement, Leak].
10. Proyecto X
- ACAB (All Cops Are Bastards)
- Ejecutado por el grupo ACABGANG.
- Abusando un método PUT habilitado en el servidor.
- La PFA escondió el evento y restauró la configuración
original de su sitio, sin mitigar la vulnerabilidad.
- El caso no llegó a los medios.
12. Proyecto X
- PFA viste a la moda:
- Referencia a la película “The Devil Wears Prada” (“El
Diablo viste a la moda”).
- Nuevamente, se ejecutó abusando el método PUT.
- El sitio mostraba una foto de un asistente a una marcha
del orgullo gay vestido de policía.
- Fue noticia nacional, llegando a la prensa especializada.
La vulnerabilidad fue corregida.
14. Proyecto X
- Sabotaje al Proyecto X:
- 2012 fue un año de tensiones políticas y protestas.
- Existía el rumor (no verificado aún) de que la PFA y la GNA
trabajaban juntos en un programa de vigilancia contra
objetivos políticos (jueces, sindicalistas, líderes sociales)
controlando sus movimientos e intentando instalar una
agenda propia. Se llamó a este programa “Proyecto X”.
- En Septiembre durante una marcha masiva (13S), el sitio
de PFA sufrió un nuevo ataque.
16. Proyecto X
- El defacement mostraba links a bases de datos que
contenían información tanto de agentes de la PFA como de
la GNA.
- Este dump despertó cierta paranoia y preocupación por la
extraña coincidencia entre oficiales de ambos organismos.
- Esta filtración se hizo viral y fue analizada durante meses.
Muchos usuarios de internet utilizaron las credenciales
filtradas para violar distintos servicios, incluyendo redes
sociales.
18. Proyecto X
- Algunos usuarios reconocieron nombres en las bases de datos,
descubriendo que no sólo contenía miembros de la GNA o PFA, sino
también personal de los Ministerios de Justicia y Defensa.
- En Reddit y en foros, la gente comenzó a realizar OSINT y a publicar
las direcciones de los agentes involucrados, creando nuevos leaks
(hijos del original).
- Los passwords estaban guardados en texto plano, y la mayoría de los
usuarios los había reutilizado en otros sitios.
- Los archivos tenían extensión .mdb (MS Access).
21. Proyecto X
- El atacante hizo un AMA en Reddit, donde explicó que logró
ingresar al sitio mediante un template de ejemplo de subida
de archivos incluído en el sitio, el cual abusó para subir una
webshell.
- Finalmente, el sitio lafederalonline.gov.ar murió y nunca más
se volvió a oír de él o de Proyecto X.
23. Spear Phishing
- En Enero de 2017, la cuenta de Twitter de la Ministra de
Seguridad fue hackeada, y su número de teléfono personal (no
vinculado a la cuenta de Twitter) fue filtrado.
- Un grupo de atacantes declaró haber hackeado más de 30
casillas oficiales (incluyendo la de Crimen Organizado) junto al
Sistema Nacional de Información Criminal (SNIC).
28. Spear Phishing
- Se filtró información crítica de tres grupos:
- Del Sistema Nacional de Información Criminal, la información de
todas las organizaciones criminales (y sus individuos), muchas
aún en actividad.
- De la casilla de Crimen Organizado, la información de Agentes y
Oficiales asignados a tareas de inteligencia criminal.
- De la casilla de Reportes, la información de ciudadanos
denunciantes de situaciones complejas como connivencia
policial o abuso.
29. Spear Phishing
- Dos personas fueron encontradas culpables y procesadas.
- Confesaron haber dirigido una campaña de Spear Phishing,
comprometiendo ~30 cuentas.
- Claramente, el error humano fue fundamental en este evento,
sumado a la falta de MFA/2FA.
- Quizás - con suerte - este evento serviría como punto de partida
para pensar en la soberbia de los funcionarios y encarar una
verdadera modernización de la infraestructura de seguridad…
30. Spear Phishing
Es por eso que en 2017, se anuncia
la creación de la policía más moderna del mundo.
Ni más ni menos.
32. La policía más moderna...
- Tras disolver la Policía Metropolitana en 2017, el Jefe de
Gobierno Horacio Rodríguez Larreta anuncia la creación de la
Policía de la Ciudad.
- En sus propias palabras, ésta sería “La policía más moderna del
mundo”.
33. La policía más moderna...
- Problema: Pocos agentes (los miembros originales de la
Policía Metropolitana).
- Solución: Firmar un acuerdo de Traspaso Obligatorio de
Agentes de la Policía Federal Argentina (Todo el país) a la
Policía de la Ciudad (Municipal).
- Problema: Al ser trasladados, éstos agentes federales
perdían sus especialidades...
34. La policía más moderna...
- Los Agentes Federales poseen especialidades de alcance
nacional tales como Narcotráfico, Crímenes Económicos,
Lavado de Dinero, Trata de Personas, Inteligencia Criminal,
entre otras; que los agentes de la Ciudad no.
- Por supuesto, esto generó un inmenso malestar entre el
personal...
35. La policía más moderna...
Esta nueva Fuerza contaría con novedades tecnológicas interesantes:
- Oficiales: estarían equipados con teléfonos inteligentes con una
ROM Personalizada.
- Tracking: Saber su posición en todo momento.
- Control: Indicar el comienzo/final de su ronda/turno. Buscar
información de matrículas y números de DNI online.
- Patrullas: Equipadas con computadoras o tablets.
- Anillo de Seguridad Digital: Cámaras de Tráfico, Lectores de
Patentes, Sistema de Reconocimiento Facial distribuído por la
Ciudad.
36. La policía más moderna...
- Todos los dispositivos y efectivos dependerían de un
centro de mando central.
- Apenas unos meses después, estas medidas tecnológicas
comenzaron a fallar una a una.
Analicemos estos fallos...
38. La policía más moderna...
- Todos los sitios de la Policía de la Ciudad compartían el
mismo certificado SSL, causando un error de tipo Domain
Name Mismatch y marcándolos como inseguros.
41. La policía más moderna...
- Los certificados son vulnerables a:
- POODLE: CVE-2014-3566 (2014)
- SLOTH: CVE-2015-7575 (2015)
- DROWN: CVE-2016-0800 (2016)
42. La policía más moderna...
- Las pruebas fueron realizadas con Comodo SSL Analyzer,
Qualys SSL e Immuniweb SSL.
- También usamos nuestras propias herramientas:
- SeñorRosado.ps1 (Common Name Mismatch)
- Lansky.ps1 (POODLE/SLOTH/DROWN)
- Github: mauroeldritch/ifoughtthelaw
47. La policía más moderna...
- Uno de los sitios de la fuerza servía aleatoriamente el script de
instalación de Drupal en “/”, permitiendo que cualquier
visitante pudiera reinstalar la instancia y servir su propio
contenido.
- El resto de los sitios permitía Dir Listing, con lo cual se
pudieron enumerar muchos scripts JS que aún contenían
comentarios de los desarrolladores y métodos antiguos
comentados, siendo una buena fuente de inteligencia.
- Los directorios de subida de archivos (“/uploads”) también
podían ser listados.
50. La policía más moderna...
- Una instancia TinyMCE se encuentra disponible en el servidor. Sería
posible activarla con un XSS.
- Pero… ¿Dónde podríamos encontrar uno?
- El sitio de Incorporaciones de la Policía de la Ciudad es heredado de
la Policía Metropolitana:
- PDLC: http://policiadelaciudad.gob.ar/inscribite/
- PM: https://web.archive.org/web/20161122044052/
http://www.metropolitana.gob.ar:80/inscribite/
- Durante 8 años este sitio fue vulnerable a un XSS (7 como PM, 1
como PDLC).
51. La policía más moderna...
- Existen dos PoCs propios para probar esta vulnerabilidad:
Dallas y Dillinger.
- Github: mauroeldritch/ifoughtthelaw
- Al abusar de este XSS, es posible encontrar un error SQL que
indica la posibilidad de ejecutar una inyección SQL. Como
éste trabajo es un reconocimiento pasivo, no se ahondará en
la misma.
56. La policía más moderna...
- Ninguno de los sitios implementó una solución Captcha.
- Ni siquiera el gateway/firewall.
- Por otro lado, el sitio de la Dirección General de Seguridad
Privada contenía muchos mecanismos de acceso escritos en
Javascript, del lado cliente.
- La manipulación de estos mecanismos es muy
sencilla.
65. La policía más moderna...
La Fuerza implementó teléfonos Android con una ROM Custom, para seguir,
gestionar y controlar a los Oficiales.
Muchos comenzaron a quejarse sobre errores en el sistema:
- Algunos aparecían ubicados a 100 o 200 metros de su posición real. El
sistema no les permitía comenzar su ronda por “estar demasiado lejos”.
- Otros perdían totalmente la conectividad durante su turno, siendo
marcados como “ausentes” o “servicio abandonado”.
Cansados de no tener respuesta comenzaron a quejarse en grupos de
Facebook y en otros sitios. Pero uno de ellos llevó la cuestión un paso más
allá: Blue Phreaker.
66. La policía más moderna...
Bajo el nombre de Blue Phreaker, un oficial publicó una serie de videos donde se
lo veía violando el bloqueo de su teléfono. Algunos de estos videos mostraban:
- La Información de Facturación de la cuenta de la Policía de la Ciudad (con un
valor mayor al publicado).
- Escalamiento de Privilegios para instalar aplicaciones, como KingRoot para
obtener acceso root al dispositivo.
- Utilizando los privilegios de root, se lo ve realizando un escaneo de todos los
recursos en la APN de Policía, descubriendo varios dispositivos inseguros
escuchando en puertos tales como Telnet o FTP, y varias impresoras (9200).
- Contenido no cubierto en este trabajo.
70. La policía más moderna...
Tiempo después, BluePhreaker publicó una serie de fotografías nuevas
donde se lo veía manipulando una de las tablets integradas a los autos
de patrulla.
- La misma, al igual que los teléfonos inteligentes, posee un sistema
“restringido” de la policía (similar a un kiosk).
- Utilizando sólo gestos, logró invocar un teclado y posteriormente el
Launcher original de Android, saltándose las restricciones.
- En apenas unos minutos pudo tener acceso a una app llamada
“VpnServer” donde residían certificados VPN genéricos (no
asociados o restringidos a un usuario).
73. La policía más moderna...
- Hace algún tiempo, una cámara del subterráneo conectada a
un monitor falló y crasheó saliendo al Escritorio. En el monitor
podía leerse un password en texto plano y un IP público
(probablemente, el servidor de la cámara).
- Esta información fue visible durante al menos tres horas,
hasta que técnicos de la Policía de la Ciudad se hicieron
presentes para mitigar el incidente.
76. La policía más moderna...
- De la nada, aparecieron varios pastes en Pastebin conteniendo
información como usuarios, emails y passwords en MD5 (No Salt) de
distintos sitios policiales.
- Estas credenciales pertenecían a recursos críticos de la Fuerza:
- Sitio de Incorporaciones, el cual contenía registros médicos,
psicológicos, religiosos, familiares y personales de cada Cadete,
Oficial, Jefe y Personal Civil.
- SSVCS (Subsecretaría de Vinculación Ciudadana con la
Seguridad): Contiene denuncias ciudadanas sobre criminalidad
con información identificable.
77. La policía más moderna...
- La mayoría de los passwords filtrados son “123456” o
combinaciones numéricas aún más sencillas...
- Una buena cantidad de passwords correspondían a nombres
propios. Cruzando la información de los usuarios con perfiles
en redes sociales, es muy seguro afirmar que estos nombres
hacen referencia a sus hijos.
81. La policía más moderna...
- En 2011, un blog anónimo expuso denuncias sobre lavado de
dinero en la Policía Metropolitana, publicando teléfonos y
casillas de correo oficiales de Jefes y Divisiones.
- Estas cuentas son oficiales pero no institucionales
(pertenecen a dominios como Gmail, Yahoo, Hotmail).
- El sitio está activo desde hace años ininterrumpidamente, y
es un excelente recurso para realizar OSINT.
89. La policía más moderna...
- Y ahora ¿Cuál de todos los cabos sueltos podrían haber
generado esto?
- PFA + GNA Leaks (Proyecto X)
- Campaña de Spear Phishing MinSeg/PFA
- Leaks Policía Metropolitana/Ciudad
- Inteligencia cruzada de todas las anteriores.
90. La policía más moderna...
- Probemos cruzando los datos del Blog sobre Lavado de
Dinero usando nuestra tool Bugsy.py, la cual conecta con la
API de HaveIBeenPwnd. Este sitio nos notifica sobre usuarios,
claves o direcciones de email que hayan sido filtrados en
ciberataques.
- También vamos a pasar por esta herramienta las direcciones
de email de jefes de la fuerza, obtenidos del Organigrama
disponible en el sitio del Gobierno de la Ciudad de Buenos
Aires.
97. La policía más moderna...
- Tres Jefes fueron comprometidos en filtraciones. Dos de ellos,
civiles: el CIO de la Fuerza y el Subsecretario de Seguridad
Ciudadana.
- Buscando en RaidForums, se encuentran los dumps de esas
filtraciones de forma gratuita.
- Los dumps contienen claves hasheadas y hints
(recordatorios de clave).
- Los hints son “Mi hija”, para uno, “DNI” para el otro
(Documento Nacional de Identidad, 10 dígitos o menos).
98. La policía más moderna...
- En Argentina, a pesar de una pesada legislación al respecto, la
información siempre es (mal)tratada como si fuese pública y
acaba filtrándose.
- ¿Qué pasa si Googleamos a alguien? Podés encontrar
fácilmente su DNI, su CUIT (ID Fiscal), su Dirección Fiscal (A
menos que sea una empresa, es su casa particular), e incluso…
su categoría fiscal (cuánto gana, aproximadamente).
99. La policía más moderna...
- Sitios como Dateas, BuscarDatos, BuscarPersonas,
InformeMultiburo, CuitOnline y otros, contienen esa
información e incluso mantienen un historial de cambios.
100. La policía más moderna...
- Retomando, con el dump de RaidForums a mano tenemos
dos cuentas, dos hashes, y dos hints:
- “Mi hija”
- “Mi DNI”
- Vamos por la fácil primero, el DNI de la cuenta
l***perin@gmail.com (Subsecretario Seguridad
Ciudadana).
- Vamos a recurrir al sitio BuscarPersonas para buscar esta
información.
102. La policía más moderna...
- Separando el CUIT (ID Fiscal) por los guiones “-” podemos
obtener el DNI.
- Ejemplo:
- Mi CUIT: 20-36999222-1
- Mi DNI: 36999222
- Listo, si yo fuera un ciberdelincuente carente de afectos,
valores y escrúpulos ya habría podido acceder a la cuenta
personal del Subsecretario de Seguridad Ciudadana y
solicitar “claves olvidadas” de otras plataformas.
103. La policía más moderna...
- Vamos por la siguiente.
- Ahora, busquemos el nombre de la hija del CIO.
- Para esto, debemos conocer primero su dirección fiscal...
- Luego, buscaremos esa dirección, para ver cuánta gente está
asociada al mismo domicilio (y probablemente viviendo bajo
el mismo techo).
- En caso de encontrarnos con un edificio o un barrio
cerrado, lo filtraremos por apellido.
105. La policía más moderna...
- Cinco personas con el mismo apellido viven en la misma
puerta. Tres son mujeres. Hagamos prueba y error.
- Calculamos los hashes correspondientes a los nombres de las
tres mujeres, para ver si coinciden con el hash del dump. No
intentaremos un login con esas credenciales.
- Al primer intento, encontramos una coincidencia. Los hashes
son públicos bajando el dump.
- users.tar.gz Linkedin dump (SHA-1 No Salt).
106. La policía más moderna...
- ¡Momento! ¡No probaste los hashes de la cuenta del
Subsecretario!
- Esto es algo vergonzoso de admitir - no para mí - pero
todos los dumps donde se encuentran cuentas del
Subsecretario contenían claves en texto plano.
108. La policía más moderna...
- Cabe mencionar que durante las filtraciones, el warez podría
haber tenido algo que ver...
- De acuerdo al tracker IKnowWhatYouDownload, el gateway
de la Policía fue visto compartiendo y descargando archivos
vía Torrent con otros usuarios alrededor del mundo,
incurriendo en el delito federal de Piratería.
113. La policía más moderna...
En Abril de 2019, muchos oficiales de la Fuerza denunciaron
haber sufrido varios descuentos en su cuenta bancaria.
- Muchos vieron la totalidad de su salario descontado.
- Tras una investigación interna, descubrieron una banda
especializada que se dedicaba a computar préstamos
bancarios falsos a policías, utilizando información filtrada
anteriormente para fraguar los mismos.
116. La policía más moderna...
Respuesta del Banco:
- Alguien les cedió el Código Bancario
Uniforme a la financiera que les está
cobrando.
- El banco no es responsable. No
participamos de ese acuerdo entre
privados.
- Quéjese con la financiera.
[¿De dónde salieron estas capturas?]
Si, de un grupo de Facebook. Abierto.
118. La policía más moderna...
- ¿Se acuerdan cuando mencioné que todos los Oficiales y
Máquinas dependían de un Centro de mando único punto de
fallo?
- A fines de 2019, hubo un gran apagón en el Anillo de Seguridad
Digital que lo dejó totalmente noqueado. Lectores de patentes,
cámaras de seguridad, sistemas de reconocimiento facial,
teléfonos inteligentes, todo había muerto.
- Pero no termina ahí. Los Oficiales filmaron todo el suceso desde
adentro, publicándolo en Facebook...
FILTRANDO. INFORMACIÓN. OTRA. VEZ.
121. - Pero ese no fue el último fallo del Anillo Digital de
Seguridad...
- A fines de 2019 el Sistema de Reconocimiento
Facial marcó erróneamente como criminal en
busca y captura a un transeúnte inocente.
- Fue detenido por error por seis días...
La policía más moderna...
123. And the law lost...
Policía Federal (Otra vez)
124. And the Law Lost...
- En el 2019, la Federal sufrió un hackeo masivo.
- Se publicaron 700GB de información sobre Agentes de
Drogas Peligrosas y sus familias, ya que los atacantes tuvieron
acceso al registro de seguro médico familiar de los efectivos.
- También, escuchas telefónicas fueron filtradas.
129. And the Law Lost...
El atacante hizo un AMA en Reddit
pero no explicó el vector de ataque utilizado.
130. And the Law Lost...
Es así como llegamos al día de hoy, diez años después,
habiendo recorrido un largo camino de negligencia,
soberbia, y muchos - demasiados tal vez - passwords en
texto plano.
132. init 0
- Conclusiones:
- No estamos seguros digitalmente. Quienes deben velar por
nuestra seguridad, tampoco.
- Internet jamás olvida. Ni siquiera esos leaks de hace un par de
años, aunque no te parezcan importantes. La inteligencia
abierta es tan útil e importante como cualquier otra disciplina
de nuestra profesión.
- Lemas como “la policía más moderna del mundo” pertenecen al
marketing (y al más barato), no a la Seguridad (Informática o de
cualquier tipo).