Hackeo de vulnerabilidad de Modems 2Wire simulando el sitio de Banamex

Antecedentes:
El viernes pasado quise acceder a mi cuenta de Banamex para realizar una transferencia. Confiado en tener todo al día: Antivirus, firewall, anti hack y por mi arrogancia, introduje número de cliente, clave personalizada y la clave dinámica que el “Net Key” me proporciona.

Sorpresa!!! Se despliega un mensaje de que el servidor se encuentra en mantenimiento y que lo intente en 24hrs. Como ya había visto este mensaje en un equipo hackeado de un cliente de inmediato entro en terror buscando el origen de la redirección. Banamex y ningún otro banco te informarán que están en mantenimiento una vez introducidos tus datos, sino antes de hacerlo. Acababa de ser víctima de un truco conocido como Pharming.

Pharming: Es la modificación de los registros (DNS) logrando redireccionar las peticiones de algún sitio (En este caso fue Banamex) hacia otro sitio preparado por un hacker o espía.

¿Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T  (actualizado al 30 de Julio de 2008)

¿Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento.

Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.

Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex.com
http://www.banamex.com
http://www.banamex.com.mx
boveda.banamex.com
boveda.banamex.com.mx
http://www.boveda.banamex.com
http://www.boveda.banamex.com.mx
bancanetempresarial.banamex.com
bancanetempresarial.banamex.com.mx
http://www.bancanetempresarial.banamex.com
http://www.bancanetempresarial.banamex.com.mx
Sitios susceptibles de ser impersonados:
Bancos en general, PayPal, eBay, sitios que requieran de usar un login

Ejemplo de sitio falso de Banamex

Sitio Falso Banamex

a) La fecha y la información busátil son incorrectas.
b) Los tipos de cambio y sobretodo la cotización del Centenario son evidentemente incorrectos.

¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?
Hackeo en tu PC
1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
– Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.

Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.

2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
– Si está activo el uso de un servidor PROXY
fuiste hackeado.

Acción: Desactiva la casilla de proxy y acepta los cambios.

3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
– Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
– Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.

Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
2Wire DNS Settings

¿Cómo evitar el hack de mi modem 2Wire en el futuro?
1. Contra el hacking de tu PC necesitas instalar un antivirus de verdad 😉 Combinaciones de antivirus y firewall gratis han demostrado detener la mayoría de las amenazas informáticas (80%) pero ese remanente que no protegen son más de 1000 amenazas.

Las herramientas Antivirus que recomiendo en estricto orden
– Kaspersky Internet Security 2009
– Kaspersky Antivirus 2009
– Norton 360

Adicionalmente necesitarías una auditoría manual de procesos y de aplicaciones potencialmente peligrosos.Ya que en este caso, el hackeo es realizado por un Caballo de troya (Trojan) y un gusano (Worm)

2. Contra el pharming de tu router 2Wire NO existe, al 2 de febrero de 2008, una solución; ni por parte de Telmex, ni por parte de 2Wire.

La mejor protección es: conocimiento y perspicacia al usar internet.

He leído que ésta vulnerabilidad es explotada a través de un correo falso que puede llegar:

– De una tarjeta electrónica de gusanito.com. (La cual no envía Gusanito.com)
Ejemplo de tarjeta falsa de gusanito.com

Gusanito fake
– De un correo falso del periódico El Universal con una liga a un video
Ejemplo de correo falso de una noticia del Universal.
Universal Fake

Cómo identificar que un sitio es genuino:

Sin embargo, el acceso a ciertas páginas también puede hacerte susceptible a un ataque de pharming, por lo que hay que fijarse en lo siguiente antes de introducir contraseñas y claves. Lo mostraré con el ejemplo de la página de Bancanet.

Bancanet

a) La direción debe comenzar con https y no sólo http. La “s” básicamente indica que es una conexión segura.

b) Habiendo la “s” entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.

Habrá que estar alertas.

Saludos

Fuentes:
http://www.securityfocus.com
http://www.2Wire.com

P.D. El hacking del 2Wire dado que afecta todos los equipos conectados al mismo,
estará afectando equipos Windows, Mac, Linux, Unix, etc.

Inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.

Actualización Agosto 2008

A estas alturas el redireccionamiento a otro sitio distinto al de Banamex sólo puede causar molestias gracias a que Banamex ahora requiere que para poder realizar cualquier transferencia, introduzcas nuevamente tu clave dinámica del NetKey. 🙂 así que gracias a todos esos intentos de fraude, lograron que la seguridad fuera relamente efectiva.

Actualización Enero 2010

Por ahí me encontré el blog de Jesus Rizo… que me supongo que es robot o algo así porque se fusiló en tu totalidad esta entrada… en fin. Shit happens! Éste es el bueno 😉 Si hasta Adela Micha se copia el texto de este blog, que otros lo hagan pues ya que, la cuestión es informar y éste por lo menos puso la fuente de donde lo copió jajaja

Uno de policías y ladrones

090403PregoCop

La noche del viernes regresaba a mi casa, eran pasadas las 9 PM. Yendo por Felix Cuevas, me tocó la luz roja del semáforo en la calle de Tejocotes y me detuve detrás de 3 coches, uno de ellos era una patrulla.

Me adelanté por la izquierda ya que no pasaba ningún auto de Tejocotes ni tampoco se veían las luces de que viniera un camión en contraflujo. Me di la vuelta e inmediatamente me siguió la patrulla haciéndome señales para que me detuviera, lo cual hice a apenas unos metros.

Se acercó un menudo y famélico “oficial” de tránsito y solicitó mis documentos. Se los entregué y pregunté cuál había sido la falta para que me detuviera. El individuo “representante” de la autoridad me indicó que había invadido deliberadamente el carril confinado para el transporte público. Como pude le expliqué que actué aún notando su precencia dado que no vi nada indebido al darme vuelta con precaución, cuando había poco tránsito y sin presencia de autobús en contraflujo.

Fue inútil, me mostró el artículo que había infringido y que además implicaba el encierro de mi auto en un depósito, mismo que hasta el lunes después de las 10AM podría sacar. Además, que para cambiar la imagen deteriorada de la policía recibían un incentivo, bono, valoración tajada del botín por cada infracción que generaran. Que con eso se evitaba la corrupción y ellos recibían una remuneración más justa.

Me di cuenta – según yo – que la medida no era tan descabellada, sin embargo iba a dar pie a abusos como el que estaba teniendo en ese momento. Le dije resignado que entendía y que sabía que dado el “incetivo” que le esperaba con mi supuesta infracción no tenía sentido discutir. Le pedí que me hiciera mi infracción y que me devolviera mis documentos. Me ordenó que lo siguiera para dejar mi auto en el depósito y que no intentara darme a la fuga. Ofendido por el comentario, le dije en tono firme y claramente molesto que iba a acatar sus indicaciones pero que primero y dada su altenería iba a realizar una llamada para proporcionar los datos de su patrulla, su nombre, número de placa, etc. porque ya había tenido malas experiencias con algunos de sus colegas policías.

Fingí marcar un número telefónico y con tono de seguridad en mi voz y un pequeño dejo de sarcasmo conversé con mi amigo imaginario. Me aseguré que el “poli” me escuchara al decir la frase “les estoy explicando porqué considero que la infracción no procede pero ya sabes cómo es esta gente. Toma los datos y al rato te vuelvo a marcar.” La acción incomodó al “policarpio” y me tomó del brazo diciéndome “Como caballeros aquí dígame qué podemos hacer.” Realmente molesto, pero haciéndome el tonto le pregunté “¿A qué se refiere? Si usted me está pidiendo dinero, de una vez le digo que sólo traigo 100 pesos y no pienso alimentar la corrupción y menos con el discurso patético que me acaba de echar”

Le dí la espalda y volví a fingir hablar por teléfono – previamente desconecté el timbre para evitar que una posible llamada entrante me descubriera – En tono de burla dije “Oye, date una vuelta por acá por favor y acompáñame. Hay una situación que no te puedes perder” Dicho ésto, llega el mequetrefe policía y me dice sumamente molesto. “¿Sabe qué mano? Súbase de inmediato a su coche y váyase ya. Fíjese para la próxima cuando vaya a dar una vuelta.” Estrechó mi mano y se dirigió a su patrulla.

Me quedé ahí viéndolo con el teléfono en la mano y le dije que nada más me dejara despedir y avisarle a mi gente que ya no viniera. Sin ninguna señal de cortesía ni respeto en su tono de voz me gritó: “Súbase y maneje despacio mientras habla al teléfono, no pasa nada. Pero ya váyase no podemos estar aquí tanto tiempo.”
Me supongo que alguno de sus superiores estaba por pasar por la zona y posiblemente iban a constatar el intento de extorsión y abuso de autoridad y por eso, al ver que no iba a sacarme nada, me urgió para irme además de motivar la infracción de que hablara por teléfono mientras fuera conduciendo… ¿qué tiene esta gente en la cabeza?

Conclusiones:
1. Desconzco si en la noche están abiertos los depósitos de autos, pero lo dudo ya que un día se llevó una grúa mi coche y a las 7PM ya están volando todos y dejan los autos “a la buena de Dios” por lo que este individuo me quiso intimidar con eso.

2. El “incentivo” por una parte está bien para evitar la mordida, pero si de cualquier forma estos infelices cuando aceptas que te hagan la infracción y no les has ofrecido nada, en automático te salen con la estupidez de “como caballeros le voy a decir algo” – es la segunda vez que me lo hacen – entonces no sirve de nada sino para que la extorsión (mordida) sea mucho mayor que antes.

3. Si no se hubiera quebrado en ese momento, estoy seguro que me hubieran detenido camino al depósito (corralón) para mostrarme su “caballerosidad” dado que no existió una infracción como él lo planteaba. Era claramente un intento de extorsión y trató de intimidarme con la multa, el aseguramiento de mi auto y los puntos que iba a perder mi licencia.

4. Dado que ésta es la 3era vez que me tratan de extorsionar y al final me dejan seguir mi camino, cuando sufra un encuentro con una de estas entidades corruptas, sugiero lo siguiente:
– No alegue mucho, es como hablarle a un árbol. No va a lograr más que el “caballero” se ensañe y tenga más elementos para querer infraccionarlo.
– Ya que revisó que sus papeles estén en orden pida que se los devuelvan y que le hagan ahí mismo su infracción. De esa forma se evita perder tiempo cuando la supuesta infracción amerita el depósito del auto en el corralón y así no lo amarran a que los siga o que se quede al tener ellos sus documentos.
– Por nada del mundo les insinúe que si se “arreglan” ahí mismo. Pueden hacerse los ofendidos y al momento de querer negociar le van a pedir más dinero.

Cuando vean que no usted no alimenta la corrupción pueden pasar dos cosas:
1. Que le digan como a mi que se fije y no lo vuelva a hacer dejándole ir o inclusive correrlo.
2. Que le apliquen su infracción. Si es así, por lo menos no alimentó a ese corrupto policía y no genera karma malo 😉

Qué lástima que estas personas sean los que nos debieran de proteger y los que debieran poner el orden… es una gran responsabilidad, un trabajo difícil y loable pero estos individuos tienen otros valores o ninguno.

Las primeras palabras y la razón de escribir un blog…

Me preguntaba desde hace días hmm¿porqué no me había involucrado en las cosas tecnológicas que me gustan desde que tenía 10 años? La respuesta fue: No me había dado el tiempo y me daba huevita ponerme a investigar.

Ya había visto esto de los Blogs, MySpace, Facebook, Hi5 y cantidad de sitios de redes sociales por todos lados. Mis clientes me cuestionaban. “¿Es seguro?”, “Implementemos un blog para que los empleados saquen su estrés”, “¿Es verdad que hay secuestradores que usan la información de Hi5 para chantajear a sus vícitimas?” Después de haber picado la curiosidad decidí leer un poco y el concepto me pareció adecuado para poder compartir y participar del fenómeno tan fuerte que se está dando.

Hi5… hmm nadie me quitará la idea de que comenzó como un vil truco para hacerse de correos electrónicos y luego venderlos al mejor postor. Sin embargo funcionó bien alguna vez permitiendo ponerme en contacto con personas que hacía más de 5 años no veía.

MySpace … me dí de alta algún día y apenas hoy lo estoy volviendo a abrir para explotarlo. Mi única amiga junto con Tom el amigo de todos es Christina. Y hoy – 892 días después – me acabo de dar cuenta que me dejó un mensaje. Fue el 22 de Agosto de 2005 ¡¡¡Gracias Chris!!! Esto demuestra lo inútiles que también estas “redes sociales” pueden ser.

Facebook… pues aquí ando. Después de haber leído que MySpace es el #1 en el vecino país del norte, preferí explotar el segundo lugar: Facebook cuya tendencia de crecimiento me anima a hacer uso de sus bondades. Por otro lado, las aplicaciones que desarrollan terceros me parecieron interesantes y que además parece mucho más fácil de usar para el usuario estándar.

Agradezco de antemano a todas las entidades encarnadas y desencarnadas que tengan a bien seguir este blog. Así podrán decir: “Yo leía a R@U cuando estaba escribiendo en Blogger.” Espero además que realmente sea útil y no sólo bytes que se quedan ahí olvidados.

Así pues, este blog es mi oportunidad de ser partícipe de la Web 2.0 y transmitir a familiares, amigos, clientes y uno que otro despistado buscando a mi homónimo que vive en Brasil información respecto a tecnologías, Internet y reflexiones que luego se me ocurren. Y que, en el proceso exista un intercambio y aporte para las partes.
Cualquier comentario o pregunta es bienvenido.

R@U

P.D. Tenía este mismo Blog en blogger pero me gustó más la interfaz de WordPress 🙂