Está en la página 1de 135

I fought the law and the law lost:

Capítulo Final
Mauro Eldritch @ DC 5411
Boot Sequence
Una breve introducción
whoami

plaguedoktor
Mauro Eldritch
- Cyber Security Architect.
- Founder @ DC5411.
- Speaker @ DEF CON Las Vegas (x6: Red Team, Hardware Hacking,
Data Duplication, & Recon Villages), DevFest Siberia, DC7831 Nizhny
Nóvgorod, ROADSEC Brasil, DragonJAR Colombia, P0SCon Iran,
Texas Cyber Summit & Hacker Halted 2020.
- He trabajado con: Ministerio de Producción, SecBSD, FreeBSD,
Ministerio de Seguridad, Ministerio de Salud, Administración
Federal, Ministerio de Economía.
README / CHANGELOG

- El objetivo de esta charla es reseñar las vulnerabilidades


informáticas en el ámbito de Fuerzas Armadas y Fuerzas de
Seguridad en Argentina.

- Este es el último capítulo de la serie I Fought The Law.

- Contiene los capítulos anteriores y un nuevo capítulo de


apéndices.
- ⏩ Es por eso que para no reducir contenido, voy a tener que
hablar un poco más rápido…
LICENSE

- Toda información compartida aquí puede obtenerse


mediante el uso de OSINT o ha sido filtrada públicamente por
terceros.

- Los autores no están involucrados directa o indirectamente


con ninguna actividad ilícita.
INDEX

- Esta charla se divide en cinco capítulos:

- Proyecto X, donde contamos cómo una filtración reveló


un supuesto aparato de espionaje estatal y terminó en
escándalo nacional.

- Campaña de Spear Phishing del Ministerio de


Seguridad de la Nación: que culminó en la filtración del
Sistema Nacional de Información Criminal (SNIC).
INDEX

- Esta charla se divide en cuatro capítulos:

- Policía de la Ciudad de Buenos Aires, donde un


ciberataque culminó en una filtración total de la
información de sus miembros.

- Policía Federal Argentina, donde un ciberataque


culminó en una filtración total de la información de sus
miembros y familiares cercanos.

- Apéndices varios.
Proyecto X
Policía Federal
Gendarmería Nacional
Proyecto X

- La Policía Federal Argentina (PFA) sufrió los siguientes


ataques:
- “A.C.A.B” (2010) [Defacement].
- “PFA viste a la moda” (2011) [Defacement].
- “Proyecto X” (2012) junto a GNA [Defacement, Leak].
Proyecto X

- ACAB (All Cops Are Bastards)


- Ejecutado por el grupo ACABGANG.

- Abusando un método PUT habilitado en el servidor.

- La PFA escondió el evento y restauró la configuración


original de su sitio, sin mitigar la vulnerabilidad.

- El caso no llegó a los medios.


Proyecto X
Proyecto X

- PFA viste a la moda:


- Referencia a la película “The Devil Wears Prada” (“El
Diablo viste a la moda”).

- Nuevamente, se ejecutó abusando el método PUT.

- El sitio mostraba una foto de un asistente a una marcha


del orgullo gay vestido de policía.

- Fue noticia nacional, llegando a la prensa especializada.


La vulnerabilidad fue corregida.
Proyecto X
Proyecto X

- Sabotaje al Proyecto X:
- 2012 fue un año de tensiones políticas y protestas.

- Existía el rumor (no verificado aún) de que la PFA y la GNA


trabajaban juntos en un programa de vigilancia contra
objetivos políticos (jueces, sindicalistas, líderes sociales)
controlando sus movimientos e intentando instalar una
agenda propia. Se llamó a este programa “Proyecto X”.

- En Septiembre durante una marcha masiva (13S), el sitio


de PFA sufrió un nuevo ataque.
Proyecto X
Proyecto X

- El defacement mostraba links a bases de datos que


contenían información tanto de agentes de la PFA como de
la GNA.

- Este dump despertó cierta paranoia y preocupación por la


extraña coincidencia entre oficiales de ambos organismos.

- Esta filtración se hizo viral y fue analizada durante meses.


Muchos usuarios de internet utilizaron las credenciales
filtradas para violar distintos servicios, incluyendo redes
sociales.
Proyecto X
Proyecto X

- Algunos usuarios reconocieron nombres en las bases de datos,


descubriendo que no sólo contenía miembros de la GNA o PFA, sino
también personal de los Ministerios de Justicia y Defensa.

- En Reddit y en foros, la gente comenzó a realizar OSINT y a publicar


las direcciones de los agentes involucrados, creando nuevos leaks
(hijos del original).

- Los passwords estaban guardados en texto plano, y la mayoría de los


usuarios los había reutilizado en otros sitios.

- Los archivos tenían extensión .mdb (MS Access).


Proyecto X
Proyecto X
Proyecto X

- El atacante hizo un AMA en Reddit, donde explicó que logró


ingresar al sitio mediante un template de ejemplo de subida
de archivos incluído en el sitio, el cual abusó para subir una
webshell.

- Finalmente, el sitio lafederalonline.gov.ar murió y nunca más


se volvió a oír de él o de Proyecto X.
Spear Phishing
Min. de Seguridad
Policía Federal
Spear Phishing

- En Enero de 2017, la cuenta de Twitter de la Ministra de


Seguridad fue hackeada, y su número de teléfono personal (no
vinculado a la cuenta de Twitter) fue filtrado.

- Un grupo de atacantes declaró haber hackeado más de 30


casillas oficiales (incluyendo la de Crimen Organizado) junto al
Sistema Nacional de Información Criminal (SNIC).
Spear Phishing
Spear Phishing
Spear Phishing
Spear Phishing
Spear Phishing

- Se filtró información crítica de tres grupos:


- Del Sistema Nacional de Información Criminal, la información de
todas las organizaciones criminales (y sus individuos), muchas
aún en actividad.

- De la casilla de Crimen Organizado, la información de Agentes y


Oficiales asignados a tareas de inteligencia criminal.

- De la casilla de Reportes, la información de ciudadanos


denunciantes de situaciones complejas como connivencia
policial o abuso.
Spear Phishing

- Dos personas fueron encontradas culpables y procesadas.


- Confesaron haber dirigido una campaña de Spear Phishing,
comprometiendo ~30 cuentas.

- Claramente, el error humano fue fundamental en este evento,


sumado a la falta de MFA/2FA.

- Quizás - con suerte - este evento serviría como punto de partida


para pensar en la soberbia de los funcionarios y encarar una
verdadera modernización de la infraestructura de seguridad…
Spear Phishing

Es por eso que en 2017, se anuncia


la creación de la policía más moderna del mundo.

Ni más ni menos.
La policía más moderna del
mundo
Policía de la Ciudad
La policía más moderna...

- Tras disolver la Policía Metropolitana en 2017, el Jefe de


Gobierno Horacio Rodríguez Larreta anuncia la creación de la
Policía de la Ciudad.

- En sus propias palabras, ésta sería “La policía más moderna del
mundo”.
La policía más moderna...

- Problema: Pocos agentes (los miembros originales de la


Policía Metropolitana).

- Solución: Firmar un acuerdo de Traspaso Obligatorio de


Agentes de la Policía Federal Argentina (Todo el país) a la
Policía de la Ciudad (Municipal).

- Problema: Al ser trasladados, éstos agentes federales


perdían sus especialidades...
La policía más moderna...

- Los Agentes Federales poseen especialidades de alcance


nacional tales como Narcotráfico, Crímenes Económicos,
Lavado de Dinero, Trata de Personas, Inteligencia Criminal,
entre otras; que los agentes de la Ciudad no.

- Por supuesto, esto generó un inmenso malestar entre el


personal...
La policía más moderna...

Esta nueva Fuerza contaría con novedades tecnológicas interesantes:

- Oficiales: estarían equipados con teléfonos inteligentes con una


ROM Personalizada.
- Tracking: Saber su posición en todo momento.
- Control: Indicar el comienzo/final de su ronda/turno. Buscar
información de matrículas y números de DNI online.

- Patrullas: Equipadas con computadoras o tablets.

- Anillo de Seguridad Digital: Cámaras de Tráfico, Lectores de


Patentes, Sistema de Reconocimiento Facial distribuído por la
Ciudad.
La policía más moderna...

- Todos los dispositivos y efectivos dependerían de un


centro de mando central.

- Apenas unos meses después, estas medidas tecnológicas


comenzaron a fallar una a una.

Analicemos estos fallos...


¿Cómo sé que sos policía?
Horrores SSL
La policía más moderna...

- Todos los sitios de la Policía de la Ciudad compartían el


mismo certificado SSL, causando un error de tipo Domain
Name Mismatch y marcándolos como inseguros.
La policía más moderna...
La policía más moderna...
La policía más moderna...

- Los certificados son vulnerables a:

- POODLE: CVE-2014-3566 (2014)


- SLOTH: CVE-2015-7575 (2015)
- DROWN: CVE-2016-0800 (2016)
La policía más moderna...

- Las pruebas fueron realizadas con Comodo SSL Analyzer,


Qualys SSL e Immuniweb SSL.

- También usamos nuestras propias herramientas:


- SeñorRosado.ps1 (Common Name Mismatch)
- Lansky.ps1 (POODLE/SLOTH/DROWN)
- Github: mauroeldritch/ifoughtthelaw
La policía más moderna...
La policía más moderna...
La policía más moderna...
Estudiando el perímetro
La policía más moderna...

- Uno de los sitios de la fuerza servía aleatoriamente el script de


instalación de Drupal en “/”, permitiendo que cualquier
visitante pudiera reinstalar la instancia y servir su propio
contenido.

- El resto de los sitios permitía Dir Listing, con lo cual se


pudieron enumerar muchos scripts JS que aún contenían
comentarios de los desarrolladores y métodos antiguos
comentados, siendo una buena fuente de inteligencia.
- Los directorios de subida de archivos (“/uploads”) también
podían ser listados.
La policía más moderna...
La policía más moderna...
La policía más moderna...

- Una instancia TinyMCE se encuentra disponible en el servidor. Sería


posible activarla con un XSS.
- Pero… ¿Dónde podríamos encontrar uno?

- El sitio de Incorporaciones de la Policía de la Ciudad es heredado de


la Policía Metropolitana:
- PDLC: http://policiadelaciudad.gob.ar/inscribite/
- PM: https://web.archive.org/web/20161122044052/
http://www.metropolitana.gob.ar:80/inscribite/

- Durante 8 años este sitio fue vulnerable a un XSS (7 como PM, 1


como PDLC).
La policía más moderna...

- Existen dos PoCs propios para probar esta vulnerabilidad:


Dallas y Dillinger.
- Github: mauroeldritch/ifoughtthelaw

- Al abusar de este XSS, es posible encontrar un error SQL que


indica la posibilidad de ejecutar una inyección SQL. Como
éste trabajo es un reconocimiento pasivo, no se ahondará en
la misma.
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...

- Ninguno de los sitios implementó una solución Captcha.


- Ni siquiera el gateway/firewall.

- Por otro lado, el sitio de la Dirección General de Seguridad


Privada contenía muchos mecanismos de acceso escritos en
Javascript, del lado cliente.
- La manipulación de estos mecanismos es muy
sencilla.
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
Blue Phreaker
La policía más moderna...

La Fuerza implementó teléfonos Android con una ROM Custom, para seguir,
gestionar y controlar a los Oficiales.

Muchos comenzaron a quejarse sobre errores en el sistema:


- Algunos aparecían ubicados a 100 o 200 metros de su posición real. El
sistema no les permitía comenzar su ronda por “estar demasiado lejos”.
- Otros perdían totalmente la conectividad durante su turno, siendo
marcados como “ausentes” o “servicio abandonado”.
Cansados de no tener respuesta comenzaron a quejarse en grupos de
Facebook y en otros sitios. Pero uno de ellos llevó la cuestión un paso más
allá: Blue Phreaker.
La policía más moderna...

Bajo el nombre de Blue Phreaker, un oficial publicó una serie de videos donde se
lo veía violando el bloqueo de su teléfono. Algunos de estos videos mostraban:

- La Información de Facturación de la cuenta de la Policía de la Ciudad (con un


valor mayor al publicado).
- Escalamiento de Privilegios para instalar aplicaciones, como KingRoot para
obtener acceso root al dispositivo.
- Utilizando los privilegios de root, se lo ve realizando un escaneo de todos los
recursos en la APN de Policía, descubriendo varios dispositivos inseguros
escuchando en puertos tales como Telnet o FTP, y varias impresoras (9200).
- Contenido no cubierto en este trabajo.
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...

Tiempo después, BluePhreaker publicó una serie de fotografías nuevas


donde se lo veía manipulando una de las tablets integradas a los autos
de patrulla.
- La misma, al igual que los teléfonos inteligentes, posee un sistema
“restringido” de la policía (similar a un kiosk).
- Utilizando sólo gestos, logró invocar un teclado y posteriormente el
Launcher original de Android, saltándose las restricciones.
- En apenas unos minutos pudo tener acceso a una app llamada
“VpnServer” donde residían certificados VPN genéricos (no
asociados o restringidos a un usuario).
La policía más moderna...
El incidente del subte
La policía más moderna...

- Hace algún tiempo, una cámara del subterráneo conectada a


un monitor falló y crasheó saliendo al Escritorio. En el monitor
podía leerse un password en texto plano y un IP público
(probablemente, el servidor de la cámara).

- Esta información fue visible durante al menos tres horas,


hasta que técnicos de la Policía de la Ciudad se hicieron
presentes para mitigar el incidente.
La policía más moderna...
Filtradores
La policía más moderna...

- De la nada, aparecieron varios pastes en Pastebin conteniendo


información como usuarios, emails y passwords en MD5 (No Salt) de
distintos sitios policiales.

- Estas credenciales pertenecían a recursos críticos de la Fuerza:


- Sitio de Incorporaciones, el cual contenía registros médicos,
psicológicos, religiosos, familiares y personales de cada Cadete,
Oficial, Jefe y Personal Civil.
- SSVCS (Subsecretaría de Vinculación Ciudadana con la
Seguridad): Contiene denuncias ciudadanas sobre criminalidad
con información identificable.
La policía más moderna...

- La mayoría de los passwords filtrados son “123456” o


combinaciones numéricas aún más sencillas...

- Una buena cantidad de passwords correspondían a nombres


propios. Cruzando la información de los usuarios con perfiles
en redes sociales, es muy seguro afirmar que estos nombres
hacen referencia a sus hijos.
La policía más moderna...
La policía más moderna...
Blogs, informantes y lavado de dinero
La policía más moderna...

- En 2011, un blog anónimo expuso denuncias sobre lavado de


dinero en la Policía Metropolitana, publicando teléfonos y
casillas de correo oficiales de Jefes y Divisiones.

- Estas cuentas son oficiales pero no institucionales


(pertenecen a dominios como Gmail, Yahoo, Hotmail).

- El sitio está activo desde hace años ininterrumpidamente, y


es un excelente recurso para realizar OSINT.
La policía más moderna...
Art Attack: Creando inteligencia a partir
de millones de errores (collage)
La policía más moderna...

- Finalmente, pasó:
La policía más moderna...

- Finalmente, pasó:
La policía más moderna...

- Finalmente, pasó:
La policía más moderna...
La policía más moderna...

“Tareas de mantenimiento”
La policía más moderna...

- Y ahora ¿Cuál de todos los cabos sueltos podrían haber


generado esto?

- PFA + GNA Leaks (Proyecto X)

- Campaña de Spear Phishing MinSeg/PFA

- Leaks Policía Metropolitana/Ciudad

- Inteligencia cruzada de todas las anteriores.


La policía más moderna...

- Probemos cruzando los datos del Blog sobre Lavado de


Dinero usando nuestra tool Bugsy.py, la cual conecta con la
API de HaveIBeenPwnd. Este sitio nos notifica sobre usuarios,
claves o direcciones de email que hayan sido filtrados en
ciberataques.

- También vamos a pasar por esta herramienta las direcciones


de email de jefes de la fuerza, obtenidos del Organigrama
disponible en el sitio del Gobierno de la Ciudad de Buenos
Aires.
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...
La policía más moderna...

- Tres Jefes fueron comprometidos en filtraciones. Dos de ellos,


civiles: el CIO de la Fuerza y el Subsecretario de Seguridad
Ciudadana.
- Buscando en RaidForums, se encuentran los dumps de esas
filtraciones de forma gratuita.
- Los dumps contienen claves hasheadas y hints
(recordatorios de clave).
- Los hints son “Mi hija”, para uno, “DNI” para el otro
(Documento Nacional de Identidad, 10 dígitos o menos).
La policía más moderna...

- En Argentina, a pesar de una pesada legislación al respecto, la


información siempre es (mal)tratada como si fuese pública y
acaba filtrándose.

- ¿Qué pasa si Googleamos a alguien? Podés encontrar


fácilmente su DNI, su CUIT (ID Fiscal), su Dirección Fiscal (A
menos que sea una empresa, es su casa particular), e incluso…
su categoría fiscal (cuánto gana, aproximadamente).
La policía más moderna...

- Sitios como Dateas, BuscarDatos, BuscarPersonas,


InformeMultiburo, CuitOnline y otros, contienen esa
información e incluso mantienen un historial de cambios.
La policía más moderna...

- Retomando, con el dump de RaidForums a mano tenemos


dos cuentas, dos hashes, y dos hints:
- “Mi hija”
- “Mi DNI”

- Vamos por la fácil primero, el DNI de la cuenta


l***perin@gmail.com (Subsecretario Seguridad
Ciudadana).
- Vamos a recurrir al sitio BuscarPersonas para buscar esta
información.
La policía más moderna...
La policía más moderna...

- Separando el CUIT (ID Fiscal) por los guiones “-” podemos


obtener el DNI.
- Ejemplo:
- Mi CUIT: 20-36999222-1
- Mi DNI: 36999222

- Listo, si yo fuera un ciberdelincuente carente de afectos,


valores y escrúpulos ya habría podido acceder a la cuenta
personal del Subsecretario de Seguridad Ciudadana y
solicitar “claves olvidadas” de otras plataformas.
La policía más moderna...

- Vamos por la siguiente.

- Ahora, busquemos el nombre de la hija del CIO.


- Para esto, debemos conocer primero su dirección fiscal...

- Luego, buscaremos esa dirección, para ver cuánta gente está


asociada al mismo domicilio (y probablemente viviendo bajo
el mismo techo).
- En caso de encontrarnos con un edificio o un barrio
cerrado, lo filtraremos por apellido.
La policía más moderna...
La policía más moderna...

- Cinco personas con el mismo apellido viven en la misma


puerta. Tres son mujeres. Hagamos prueba y error.

- Calculamos los hashes correspondientes a los nombres de las


tres mujeres, para ver si coinciden con el hash del dump. No
intentaremos un login con esas credenciales.

- Al primer intento, encontramos una coincidencia. Los hashes


son públicos bajando el dump.
- users.tar.gz Linkedin dump (SHA-1 No Salt).
La policía más moderna...

- ¡Momento! ¡No probaste los hashes de la cuenta del


Subsecretario!

- Esto es algo vergonzoso de admitir - no para mí - pero


todos los dumps donde se encuentran cuentas del
Subsecretario contenían claves en texto plano.
Apéndices
Piratas del Caribe
La policía más moderna...

- Cabe mencionar que durante las filtraciones, el warez podría


haber tenido algo que ver...

- De acuerdo al tracker IKnowWhatYouDownload, el gateway


de la Policía fue visto compartiendo y descargando archivos
vía Torrent con otros usuarios alrededor del mundo,
incurriendo en el delito federal de Piratería.
La policía más moderna...
La policía más moderna...
La policía más moderna...
El robo al banco
La policía más moderna...

En Abril de 2019, muchos oficiales de la Fuerza denunciaron


haber sufrido varios descuentos en su cuenta bancaria.

- Muchos vieron la totalidad de su salario descontado.

- Tras una investigación interna, descubrieron una banda


especializada que se dedicaba a computar préstamos
bancarios falsos a policías, utilizando información filtrada
anteriormente para fraguar los mismos.
La policía más moderna...
La policía más moderna...
La policía más moderna...

Respuesta del Banco:

- Alguien les cedió el Código Bancario


Uniforme a la financiera que les está
cobrando.

- El banco no es responsable. No
participamos de ese acuerdo entre
privados.

- Quéjese con la financiera.

[¿De dónde salieron estas capturas?]


Si, de un grupo de Facebook. Abierto.
Apagón
La policía más moderna...

- ¿Se acuerdan cuando mencioné que todos los Oficiales y


Máquinas dependían de un Centro de mando único punto de
fallo?

- A fines de 2019, hubo un gran apagón en el Anillo de Seguridad


Digital que lo dejó totalmente noqueado. Lectores de patentes,
cámaras de seguridad, sistemas de reconocimiento facial,
teléfonos inteligentes, todo había muerto.

- Pero no termina ahí. Los Oficiales filmaron todo el suceso desde


adentro, publicándolo en Facebook...
FILTRANDO. INFORMACIÓN. OTRA. VEZ.
La policía más moderna...
Falso Positivo
La policía más moderna...

- Pero ese no fue el último fallo del Anillo Digital de


Seguridad...

- A fines de 2019 el Sistema de Reconocimiento


Facial marcó erróneamente como criminal en
busca y captura a un transeúnte inocente.

- Fue detenido por error por seis días...


La policía más moderna...
And the law lost...
Policía Federal (Otra vez)
And the Law Lost...

- En el 2019, la Federal sufrió un hackeo masivo.

- Se publicaron 700GB de información sobre Agentes de


Drogas Peligrosas y sus familias, ya que los atacantes tuvieron
acceso al registro de seguro médico familiar de los efectivos.

- También, escuchas telefónicas fueron filtradas.


And the Law Lost...
And the Law Lost...
And the Law Lost...
And the Law Lost...
And the Law Lost...

El atacante hizo un AMA en Reddit


pero no explicó el vector de ataque utilizado.
And the Law Lost...

Es así como llegamos al día de hoy, diez años después,


habiendo recorrido un largo camino de negligencia,
soberbia, y muchos - demasiados tal vez - passwords en
texto plano.
init 0
Conclusiones, Agradecimientos, Q&A
init 0

- Conclusiones:

- No estamos seguros digitalmente. Quienes deben velar por


nuestra seguridad, tampoco.

- Internet jamás olvida. Ni siquiera esos leaks de hace un par de


años, aunque no te parezcan importantes. La inteligencia
abierta es tan útil e importante como cualquier otra disciplina
de nuestra profesión.

- Lemas como “la policía más moderna del mundo” pertenecen al


marketing (y al más barato), no a la Seguridad (Informática o de
cualquier tipo).
init 0

- Agradecemos a todo el equipo de DragonJAR.


init 0

- Síguenos en @

Mauro Eldritch
- github.com/mauroeldritch
- twitter.com/mauroeldritch

DC5411:
- @DC54111
- Github.com/dc5411
init 0

¿Preguntas?

También podría gustarte