El poder de Unicode.

Roger Grimes cuenta en su obra, en el capítulo dedicado a Pruebas de intrusión, o pentesting, cómo consiguió hackear legalmente todos los decodificadores de TV de EEUU, mediante la técnica denominada directory transversal.

Lo único que hizo fue acceder a un servidor web (tras una serie de investigaciones) y escribir: //..// , con lo que se convirtió en el administrador del decodificador.


Dicha técnica aprovechaba una falta de seguridad en la validación, cuando se introduce texto en Unicode.

-¿Qué es unicode ?
-Un sistema de codificación que permite trabajar con caracteres de cualquier idioma. Una gran ventaja, con ciertos flecos de inseguridad.
- No lo entiendo profe.
-Te lo demuestro con un ejemplo, Gabriel. ¿Esto parece la dirección de Apple, verdad?
-Claro, profe, además es https, nos tiene que aparecer el candadito verde.
-Pincha en el enlace a ver qué pasa.



-¡Ostras!


- Vuelve a pinchar en el enlace:


-¡Ahora sí!

-¿Cuál es la diferencia?
-¡No me lo digas!...El primer enlace está escrito con caracteres Unicode.
-¡Exacto! Se denomina ataque homográfico y es una herramienta terrible en manos de un phisher. ¿Se te ocurre cómo podría aplicarla?
-Podría clonar el código fuente de un portal bancario, hacer que un troyano se conectase a la URL falsa en lugar de a la verdadera y robar las contraseñas de la victima. 


-Se puede decir más alto pero no más claro. Clonar portales y dotarlos de campos de usuario y contraseña es el mecanismo del chupete. Una organización criminal solo tendría que contratar servidores y desarrollar campañas de phishing por correo o mensajería.
-Pero nos estabas contando cómo encontraste cadenas Unicode investigando el mercado negro ruso.
-Se me va la pinza...Bueno, pues accedo a una web supuestamente de carders (ladrones de tarjetas de crédito) y me aparece esto:


-En principio pienso que es una especie de webshell.
Y me alegro de estar navegando dentro de una Sandbox. Busco esa cadena en Google a ver que encuentro.


 -Todas las páginas que me aparecen son rusas. La u0 indican que son cadenas Unicode ¿Páginas hackeadas, errores que muestran código? Las webs parecen funcionar correctamente salvo por esas páginas en concreto.


 -Decido volver al origen al supuesto foro de carders.

-Necesito recurrir al traductor:

-En efecto compruebo que, al menos en el primer caso, se trata de un error de conexión. Y hasta aquí el viaje al apasionante mundo de la codificación Unicode. Ahora tenemos que hacer cinco de ejercicios de derivadas.

-¡¡¡Noooo 😫 (U+1F62B) !!!
-😂(U+1F602)

Comentarios

Entradas populares