sábado, 11 de febrero de 2017

Moofwd Mobile: Apps Moviles que transmiten credenciales en plano

Moofwd Inc. es una empresa desarrolladora de soluciones móviles con oficinas en Estados Unidos, India y Chile. Sus desarrollos apuntan a soluciones para Instituciones educacionales y comerciales.
Esta empresa es la responsable de varios desarrollos de apps moviles para uso de Intranet por parte del alumnado y empleados de distintas universidades en el mundo. Solo en Chile podemos identificar que sus app es utilizada por una variedad de casas educacionales.






- Universidad Andrés Bello
- Universidad Santo Tomás
- Instituto Profesional AIEP
- Universidad de las Américas
- Universidad de los Andes
- Instituto Profesional Virginio Gomez
- Instituto Profesional IACC
- Instituto Profesional AIEP -Administración-
- Instituto Guillermo Subercaseaux



1.- Credenciales en Plano?

De vez en cuando siempre me pongo a sniffear lo que sale de mis dispositivos y a ver  las peticiones que hace una u otra app por curiosidad. Así fue como llegue a la app de una universidad con el fin de hacer una versión en perl para ver las notas cada loco con su tema, y al parecer las credenciales van en plano?.

Con CharlesProxy, un HTTP Proxy que nos permite hacer maravillas en cuanto a monitorear peticiones y respuestas (Entre otras cosas más), logré que mi móvil (iOS) se conectará a Internet mediante mi laptop en el puerto que CharlesProxy esta monitoreando. Asi todas las peticiones que realice mi movil se verán en la ventana del Proxy.




Escenario:  MitM con Ettercap + Wireshark: 






Moofwd: Políticas de Privacidad -> Seguridad.








martes, 5 de abril de 2016

Concurso MissMundoExperto - en Datos Personales -




El concurso Miss Mundo Experto, es un concurso que realiza la empresa Easy en conjunto al Diario La Cuarta. Mundo experto es el club de beneficios de la construcción que tiene Easy y todos los años se elige a la Miss que representara al club, donde a su vez se realizan actividades junto a maestros y trabajadores de la construcción. Por otro lado este concurso se toma gran parte de las redes sociales, donde las concursantes incentivan a sus seguidores a votar por ellas, el gran atractivo de las chicas es lo que produce que este concurso tenga gran cantidad de seguidores y que día a día se generen miles de menciones y publico promoviendo que voten por las concursantes.





martes, 19 de enero de 2016

Twitter & Abuso de Menores: Usuario en CL




Primero que todo quiero establecer - para que no haya confusión - que me durante toda esta publicación que cuando hablo de material de Abuso de Menores me refiero específicamente a Pornografía Infantil, una vez establecido esto es hora de continuar.


Ya hablamos de que "Twitter esta fallando en la lucha contra el abuso a menores" en la publicación anterior, sin embargo quedan muchas aristas que discutir y establecer.

Para dar un poco de contexto, el día de ayer mientras me encontraba reportando cuentas de abuso de menores en Twitter, y luego de leer nuevamente la "Política de explotación sexual de menores" puedo resumir que:


  • Twitter NO tolera la explotación sexual de menores.
  • Cuando toman conocimiento de material que promueve la explotación sexual a menores son retirados del sitio.
  • Es reportado también a NCMEC ( National Center for Missing & Exploited Children )

Al parecer es reportado a una entidad que trabaja en cercanía de otras instituciones de ley: NCMEC "Provide all information to the appropriate law enforcement agency for potential investigation".

Ayer mientras navegaba en twitter me encontré con una de estas cuentas, en resumen: Gran número de seguidores, gran numero de fotos y videos, correos de contacto e incluso alusión a dirección de un blog (blogger). Además se podía concluir que participaba en intercambio de material de manera bastante organizada (publicaba carátulas de DVD, que contenían una especie de collage de Abuso a menores. 

domingo, 27 de diciembre de 2015

Twitter está fallando en la lucha contra el abuso a menores



Twitter esta fallando en la lucha contra el abuso a menores.- 


Primero que todo quiero compartir con ustedes la siguiente aclaración tomada desde la página de la Interpol.
Es muy común oír o leer cuando hablan de Pornografía Infantil en los medios de comunicación, redes sociales o inclusos nosotros mismos(me incluyo), sin embargo hace un tiempo se lleva a cabo una campaña en la cual buscan terminar con el uso de termino "Pornografía Infantil" cuando hablamos de imágenes que describen el abuso sexual de un menor. 

El abuso a menores, no es pornografía

Una imagen sexual de un menor, es "abuso" o "explotación", y no debe jamás ser descrito como "pornografía"

La pornografía es un término usado para los adultos que participan en actos sexuales consensuales distribuidos (su mayoría)legalmente al público en general para su placer sexual.

Jamás debemos olvidar que las imágenes de abuso infantil, son documentos de prueba de un delito en curso, un niño siendo víctima de un abuso sexual.

domingo, 22 de noviembre de 2015

Privacidad hoy en día | Registro Civil ?





Creo que la privacidad quedó en el pasado - aun muchos siguen luchando por que no sea así - pareciera que para el común de la gente fuese normal que su información personal pueda ser expuesta a cualquier persona en el mundo. Ya es sabido que el Registro Civil chileno ha pasado por diversas situaciones cuestionables en cuanto a privacidad,  recordar que aunque obligado por una ley,puso a disposición de todos la información de aproximadamente 13 millones de chilenos correspondiente al padrón electoral y hasta el día de hoy los pdfs andan rondando en cualquier parte del mundo o cuando denunciaron el robo de una base de datos "Registro Civil denuncia copia irregular de bases de datos de carnés y pasaportes" , bueno de esos hay varios casos y no vale la pena recordarlo todos. No siempre es necesario un fallo informático o una gran vulnerabilidad explotada, sino que "fallas" o "descuidos" humanos también son una gran fuente de exposición de datos personales. 

A todo esto por el paro, ayer sábado 21 de noviembre el registro civil abrió sus puertas, y era el último día para obtener el pasaporte antes del alza de precio - canallas qls c: - así que era hora de levantarse después de una buena celebración el día anterior, y piscolas por todos lados, pero esa ya es otra historia.


- Esperando mi turno para obtener pasaporte fue que me puse a mirar que en cada cubículo de atención ( alrededor de 7 ) tenían una pantalla que daba hacia el público donde se iba mostrando la información de la persona que estaba siendo atendida, a medida que avanzaba en el proceso de obtención de cédula o pasaporte.


viernes, 8 de mayo de 2015

Sitio del Mineduc vulnerado?, let's see!


No es nuevo encontrar que sitios del gobierno han sido vulnerados de alguna u otra forma, hemos visto: deface, enlaces a pornografia ocultos [Sí, la JUNJI] , robo de información?, incluso ataques automatizados que toman ventaja de vulnerabilidades conocidas en Webapps.

Hoy es el turno de un subdominio del Mineduc, me refiero a: http://sgdce.mineduc.cl/ 

Haciendo una búsqueda en Google con un pequeño DORK nos damos cuenta que mantiene contenido con variadas rutas finales que ninguna relación tienen con el contenido que esperariamos encontrar en una pagina del Gobierno.

Aquí solo Algunos: =x




martes, 14 de abril de 2015

#BotCommentsCL : Es momento de ser responsable de nuestros sitios


#BotCommentsCL 

BotCommentsCL es una iniciativa con la cual se busca dejar en evidencia a sitios chilenos que no se hacen cargo de lo que se comenta en sus webs, muchas veces por Bots entrenados para propagar publicaciones con contenido Sexual | Drogas u otro tipo de contenido no apropiado.

Es común navegar por Internet, en este caso en sitios chilenos, y encontrarnos con algunos foros abandonados o páginas que permiten comentarios, en donde no utilizan captcha o algún otro sistema para evitar robots , o simplemente son deficientes. Son estos tipos de sitios los que almacenan miles de publicaciones con links a todo tipo de contenido inapropiado, muchas veces incluso promocionando sitios de Pornografía Infantil, Venta y uso de Drogas .

Por otro lado, existe otra forma de ataque donde explotan vulnerabilidades en los CMS o Servidores para así dejar contenido en los sitios de la forma http://web.cl/ContenidoInapropiado/ , donde es común ver que la página nos redirecciona a otros sitios, o nos incentiva a descargar algún tipo de ejecutable u ofrece contenido pornográfico muchas veces ILEGAL.
#BotCommentsCL busca exponer estos sitios haciendo uso del mismo hash en Twitter acompañado del link al sitio para dejarlo en evidencia.


¿De que hablo? 

Colegios:

Obispado:



Universidades:

Municipalidades:




Como Publicar en Twitter:


#BotCommentsCL NOMBRE DE LA INSTITUCIÓN [Cuenta de Twitter si tiene]: Link al sitio con el contenido 


Sigue el Hash en Twitter: #BotCommentsCL



----------------------------------------------------------------
Por una red responsable y más segura !

Finish|