Pantallazos con capacidad probatoria ante amenazas en redes sociales

Cuando somos objeto de un ataque o amenaza en redes sociales como Twitter, foros o cualquier otro servicio basado en web, nuestra primera acción suele ser sacar un pantallazo que registre en un archivo de imagen el contenido en cuestión.

La validez probatoria de esta imagen se puede poner en entredicho si llegamos a denunciar y el denunciado ha borrado ese contenido, twit, imagen, etc.

Esto puede implicar el fin del proceso, pero disponemos de un medio para registrar ese twit, comentario, etc. Con validez probatoria y que no depende de que el contenido siga existiendo en la red cuando denunciemos, se llama eGarante.

eGarante actúa como testigo independiente generando un documento fechado y firmado digitalmente, lo cual garantiza que el contenido no ha sido manipulado, convirtiéndose este “pantallazo” en un documento probatorio regulado por el artículo 326 de la Ley de Enjuiciamiento Civil.

Además es un servicio gratuito cuando se usa sin fines comerciales, también pueden certificar facturas electrónicas y cualquier otro documento que enviemos por email, como contratos, acuerdos de confidencialidad, etc.

Su uso es bastante sencillo, tan solo debemos copiar la dirección web donde se encuentra el contenido amenazante y enviarla a un email que nos devolverá un archivo PDF con el contenido de la web, fechado y firmado digitalmente.

El caso que ha originado este post es un twit de un personaje que se dedica a defender TeleMadrid atacando a los empleados que sufrieron el ERE de esta cadena pública.

El primer paso para recabar la prueba con validez legal es obtener la dirección web del twit en cuestión.

20140402-015218.jpg

Si accedemos vía web a los twits, pincharemos en en enlace “Abrir” que se encuentra debajo del texto a la izquierda, se nos mostrará la fecha y hora del twit, así como otro enlace llamado “Detalles”, este nos llevará a otra página, en la barra del navegador tenemos la dirección que debemos enviar a eGarante.

20140402-015658.jpg

Si nos encontramos en el móvil o una tablet con la app de Twitter, podemos obtener esta dirección pulsando sobre el twit, el cual se abrirá.

En Android pulsaremos en el icono de compartir que se encuentra a la derecha debajo del twit

20140402-015938.jpg

Y seleccionaremos la opción “Copiar en el portapapeles”.

En iPhone/iPad seleccionaremos “Copiar enlace al twit”

20140402-020119.jpg

Con esto enviaremos un email a la dirección de email de eGarante websigned@egarante.com, poniendo la dirección de la web en el Asunto

20140402-020400.jpg

Nota para usuarios de Android: “Copiar en el portapapeles” copia la dirección web del twit y el contenido del mismo, aseguraos de que sólo enviáis la dirección web en el Asunto y no todo el texto.

En unos minutos recibiréis un email de vuelta con el archivo PDF adjunto.

20140402-020809.jpg

Y listo, ya da igual si ese twit desaparece, hay una prueba de su existencia verificada por un tercero neutral y con las medidas tecnológicas necesarias para que se pueda considerar su valor probatorio ante un tribunal.

WiFi “gratis” 30€

20140331-015547.jpg

Y por menos, además te arreglan el ordenador y te instalan lo que quieras en él.

Este tipo de anuncios proliferan por las marquesinas de autobuses de ciudades, mucho cuidado con esto.

Primero, estamos dejando nuestro ordenador en manos de un desconocido del que no tenemos referencias. Teniendo acceso físico al ordenador se pueden hacer demasiadas maldades sin el conocimiento del usuario.

Dejar el ordenador a un desconocido que nos ofrece cometer un delito por 30€ no genera la confianza necesaria para permitirle el acceso a un sistema donde luego se accederá a cuentas de correo, bancarias, etc.

Un falso antivirus, un troyano que permita al técnico acceder posteriormente en remoto a la máquina sin que el usuario reciba ninguna alerta y… La receta del desastre servida.

Segundo, y no menos importante, las redes WiFi gratis no existen más allá de las que ofrecen bares, quioscos o autobuses urbanos, con su baja velocidad y limitaciones en ciertos servicios como el visionado de vídeos, etc.

Que un extraño venga a casa a instalarnos WiFi gratis implica un presunto delito de revelación de secretos, Artículo 197 del Código Penal, castigado con hasta 4 años de cárcel por conectarse a la red WiFi de un vecino. Recordad que desconocer las leyes no exime de su cumplimiento y estaréis siendo cómplices, cuando no instigadores, de esa revelación de secretos.

Y tercero, usando “gratis” la conexión WiFi de un vecino os exponéis no solo a una denuncia, sino a que tenga un amigo informático que le asesore y se aproveche de vuestros escasos conocimientos para liárosla parda.

No todos los que roban la WiFi a un vecino tienen la suerte de esta pareja de abogados (aquí la segunda parte de la historia)

#BOFHers Herramientas para Google Chrome

Inspirado en este post sobre herramientas para Iceweasel/Firefox del gran Daboblog os comparto las herramientas/plugins que uso en Google Chrome y que os pueden resultar útiles para detectar problemas y valorar la seguridad de las páginas web que visitáis.

plugins

 

Voy a dividir en dos las herramientas, por un lado las de uso general y luego las especializadas en información, seguridad y de apoyo al pentesting.

Uso General

Do Not Track Me

Muy útil si nos os gusta ser rastreados por los múltiples servicios para anunciantes que hay disponibles. Un pellizco más de privacidad en un mundo donde cada día se diluye más este concepto.

AdBlock

No confundir con AdBlock Plus, este no muestra ni la publicidad no invasiva como el otro. Muy efectivo en páginas de torrents.

TamperMonkey

Un clon de GreaseMonkey, nos permite gestionar scripts de usuario de manera sencilla, activarlos o desactivarlos, importarlos, etc.

He dudado bastante en poner este plugin, mal usado puede resultar peligroso para el usuario.

Hay scripts como SaveTube que nos pueden servir de ayuda para descargar vídeos y audios de Youtube, Vimeo, IMDB, etc.

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

Otros como Green SSL Password Field que nos avisan cuando un formulario con un campo de tipo password se va a enviar a través de una conexión cifrada SSL.

Formulario con campo de clave enviado a través de HTTPS

Formulario con campo de clave enviado a través de HTTPS

 

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Y luego auténticos fakes como Salesforce Field Security Profile Helper, que suena muy bien, está orientado a un usuario con un perfil más de ventas que técnico, y que en realidad se trata de un script para hacer “Me gusta” en tu nombre cuando accedas a tu cuenta de Facebook desde el navegador.

Antes de instalaros un script, a falta de tener conocimientos para ver que hace el código fuente, elige aquellos que tengan bastantes revisiones y buena puntuación en la web de UserScripts.

Uso Profesional

HTTP Headers

Visualiza de manera rápida las cabeceras que devuelve el servidor web de la página que estás visitando.

Edit This Cookie

Permite visualizar las cookies de una web y variar su contenido. Muy útil para evaluar como manipula una web los datos que recibe a través de las cookies que envía el navegador web del usuario.

Os sorprendería saber cuantas webs confían en los datos recibidos y no los sanean, algunos incluso los usan para generar consultas en la base de datos, por lo que son vulnerables a ataques de inyección de SQL.

Wappalyzer

Realiza un análisis de las tecnologías web que usa la página que estamos visitando, desde el CMS (Joomla, Drupal, WordPress) a Google Analytics, JQuery, PHP, Python… detecta más de 500 tecnologías y servicios diferentes.

Web Developer

Del mismo autor que el conocido plugin para Firefox. Es un conjunto de utilidades que nos permiten manipular la web, diseño, formularios, cookies, etc.

Form Fuzzer

Para realizar Fuzz Testing en formularios.

Proxy SwitchySharp

Permite crear perfiles de Proxy y cambiar entre ellos de manera sencilla. Muy útil cuando tienes que hacer pruebas con ZAP, MitM Proxy, etc.

Cache Killer

Para limpiar la caché de Chrome antes de cargar una página.

XSS Rays

Scanner XSS, herramienta de ingeniería inversa, etc.

WebSecurify

Conjunto de utilidades para testear la seguridad de sitios web. Dispone de varios plugins gratuitos y muchos más de pago porsubscripción (los más interesantes).

Port Scanner

Plugin para escanear los puertos del servidor que aloja la web que estamos visitando.

HPP Finder

Testea si la web y sus formularios son vulnerables al HTTP Parameter Pollution. Más información sobre HPP en este post de Chema Alonso.

IP Address and Domain Information

Completa información sobre la IP, proveedor y dominio de la web que visitamos.

ModHeader

Manipulación de las cabeceras que se envían al servidor.

Algunas funciones están repetidas, como la manipulación de cabeceras y cookies en diferentes plugins… Confieso que es por vagancia ya que unos son más rápidos de usar que otros (Web Developer) aunque sean menos completos.

Nota: El uso de estas herramientas no debe substituir nunca una buena auditoría de seguridad de vuestras webs y de los servidores en las que están alojadas.