Continuando con los
dorks vistos en la primera parte del
artículo, existe una buena cantidad de ellos que también pueden darnos
información jugosa. Por ejemplo, también se puede ir directamente a por
esas cuentas de usuario tan importantes y conocidas:
"program * url/host" "login root"
"program * url/host" "login admin"
"program * url/host" "login administrator"
O a por servicios básicos como las bases de datos y sus interfaces:
"program * url/host" "phpmyadmin"
"program * url/host * mysql"
O hacer búsquedas dirigidas a un determinado dominio:
"program * url/host" "google.com/ServiceLogin"
Cámbiese la
URL de
Google por el nombre de algún sitio donde se mueva dinero, tipo
PayPal o una tienda online, y...
También se puede salir a la caza de credenciales de
No-IP o
DynDNS. Al fin y al cabo, si alguien tiene un nombre de dominio asociado a una dirección
IP dinámica, para algo lo querrá. Quizá porque tenga un
PC controlado de forma remota, quizá porque lo use de puerta de entrada a algún sitio. Quizá...
"program * url/host" "no-ip.com"
Si lo que queremos es localizar quién ha buscado por números de serie de
Microsoft Windows, pues ponemos algo como:
"program * url/host" "windows serial key"
"program * url/host" "microsoft windows"
Y, para una version determinada de
Microsoft Windows:
"program * url/host" "microsoft windows 7"
… Y en muchos casos te aparecerá el dato en la propia página de
resultados. Incluso se puede ir al encuentro del pirata. Primero
localizamos un número de serie de esos que suelen usar quienes no tienen
licencia:
 |
| Figura 7: Serials piratas de Windows XP |
… y después localizamos quienes la utilizaron para instalarse un
Microsoft Windows y luego decidieron instalarse sobre él el
malware de tipo
HC Stealer que se trata en este artículo:
 |
| Figura 8: Instalaciones con serials pirata infectados con HC Stealer |
Otros Formatos de datos para los ladrones
Por supuesto,
HC Stealer no es el único ladrón que anda suelto por ahí. En este ecosistema podemos toparnos con
malware como
iStealer, su antepasado, con
Crime24,
etcétera, etcétera, etcétera. De modo que tenemos unos cuantos formatos
de recolección de datos más con los que podríamos enredar buscando en
Internet. Vayan algunos ejemplos en los puntos siguientes:
 |
| Figura 9: Lista de usuarios y contraseñas |
 |
| Figura 10: Cuentas de MSN en otro formato |
Incluso hay quien tiene tantas cuentas que usa su propio formato de almacenamiento de los datos y las pone en formato ancho:
 |
| Figura 11: Cuentas formateadas en ancho grande |
Ideas que se me vienen a la cabeza
Visto lo visto, creo que si eres un administrador de sistemas no es
buena señal ver uno de estos logs de contraseñas en tus servidores. Ni
tampoco es para alegrarse si lo que uno se encuentra en ellos es el
fichero
PHP que controla el cotarro (que lo más probable
es que esté ofuscado). Y menos aún si la mala noticia está indexada por
algún buscador.
Ni que aparezca una dirección IP de tu organización en uno de estos
logs.
Si das con estas cosas, y la fecha es reciente (y si no es reciente...
puede que también), yo que tú me iría pidiendo unas pizzas, que la
tarde-noche puede que sea entretenida. Alguien puede tener algo que no
debiera en su equipo y es mejor quitarlo cuanto antes.
Seas un particular o pertenezcas a una organización, si una cuenta tuya o
administrada por ti aparece en un listado puede ser indicio que tienes,
o has tenido - y posiblemente tendrás - un problema con el
malware. O alguien ha sido lo bastante listo como para hacerse con tu contraseña y utilizaba un sistema poco recomendable.
Otra cosa muy distinta es ver los datos como investigador. Descargarse
cuanto listado encuentre y analizarlo, a ver qué conclusiones consigue
sacar. Cosas como qué contraseñas usa la gente que usa la misma
contraseña en todos los sitios. O si se utilizan contraseñas más seguras
para unas cosas que para otras. O qué navegadores son más utilizados
por las víctimas de este
malware, etcétera.
Pero hay algo que no debe obviarse. Quien haya leído hasta aquí de forma
atenta habrá notado que muchos de los casos mostrados en los ejemplos
tenían fecha de hace 2 ó 3 años. En parte porque yo he intentado no
poner nada que aún pudiera causar daño pero, sobre todo, porque en los
resultados de los buscadores uno va a
encontrar siempre más información
antigua que nueva.
De hecho, cuando te pones a escribir, el propio
Google te
hace unas recomendaciones curiosas, indicio de que hay gente por ahí que
anda buscando lo que no debería, tal y como os he explicado yo hasta
este punto del artículo:
 |
| Figura 12: Proposiciones "indecentes" |
Resumiendo: lo más probable es que la mayoría de los
legítimos (o ilegítimos) propietarios de las contraseñas que encontremos
las hayan cambiado ya. O que hayan cancelado sus cuentas. O que incluso
los servicios a los que accedían con ellas ya no existan. De modo que
habría que saber matizar los resultados para
encontrar credenciales
válidas.
Pero es que, para mí, las contraseñas no son lo más relevante. Al menos,
no a largo plazo.
Aunque no tuvieran contraseñas
Supongamos que encuentro que mi contraseña está publicada en algún sitio de estos. La cambio, desinfecto por si acaso mis
PC para que no vuelva a ocurrir y... ¿todo resuelto?
Para mí que no. Lo que queda aún puede hacerme daño. Veamos un ejemplo.
Hay ciertas webs que utilizan el documento nacional de
identidad, el
número de teléfono u otros datos identificativos. Ejemplos habituales
son las grandes empresas. Así que si se busca sobre una de ellas…
 |
| Figura 13: Buscando información robada de un banco |
Encontrar resultados ya da un poco de miedo. Porque el
DNI puede aparecer en muchos sitios:
BOE
y otros boletines oficiales, listados de recogida de firmas para
iniciativas legislativas, contratos de colaboración que se publican en
Internet, datos de representantes de empresas, etcétera.
Y el teléfono o el correo electrónico muchas veces se hacen públicos
como datos de contacto de empresas y personas, o en sitios de búsqueda
de trabajo, o en anuncios de compra y venta. De modo que si uno se pone a
hacer de detective puede ser un hilo del que empezar a tirar.
Pero incluso si uno se restringe a lo que encuentra en los logs de los
stealers tiene para un rato. Si alguien toma uno de ellos y se fija en el
login:
 |
| Figura 14: NIE de una persona |
Como se puede observar en la imagen, la identificación comienza y termina por letra y en medio hay números. En
España, ése es el formato del
NIE,
número de identificación de extranjería. O sea, se trataba de una
persona de otro país. Cuando se analizan los datos del documento, ahí
están:
 |
| Figura 15: Datos de conexión de esa persona |
La contraseña, en realidad, no salía. Estaba en blanco. No sé por qué,
pero tampoco creo que fuera lo más importante la contraseña, visto lo
visto. Lo importante son los otros datos. Como la dirección IP que
permite determinar, más o menos, por dónde vive la víctima y qué
compañía le da acceso a
Internet.
Pero es que, aparte de este dato puntual, hay más credenciales.
Información sobre otros sitios web que pueden ayudar a crear un perfil
de la persona a la que se refieren. Para ello se debe comprobar
cuidadosamente el nombre de
PC y/o la dirección
IP de cada entrada, ya que los
logs pueden tener datos de varias personas y no es cuestión de que mezclemos cosas que deben estar separadas.
En la tercera y última parte de este artículo veremos el final de lo que
se puede llegar a sacar de una persona solo revisando los datos en las
guaridas de los
ladrones de contraseñas.
Autor: Enrique Rando
