Ahora que ya sabemos dónde ha estado Elliot durante los últimos meses, es el momento de averiguar cómo llegó hasta ahí y cómo vuelve a la vida “normal”. Eso es parte de lo que veremos durante los primeros minutos de este capítulo (Mr. Robot S02E09), pero eso es solo el principio; desde ahí recorrimos un largo camino hasta develar el easter egg más complicado hasta la fecha, que adelantamos en el título.
Recuerda que a partir de este punto comentaremos partes de la trama del capítulo: ¡spoiler alert!
Init 5, vuelta a la normalidad
Una de las primeras frases que Elliot pronuncia cuando sale del lugar en el que ha pasado los últimos meses es “Init 5, de vuelta a la normalidad”. Esta frase hace referencia a los niveles de ejecución en sistemas Unix y derivados, que determinarán en qué modo arranca el sistema.
Si nos fijamos en la tabla anterior, el nivel de ejecución 5 se corresponde con lo que sería elarranque normal del sistema, iniciando el entorno gráfico y las conexiones de red. En el cuarto capítulo de esta segunda temporada de Mr. Robot, Elliot hacía referencia a Init 1, lo que vendría a representar un arranque del sistema monousuario sin interfaz gráfica ni conectividad a la red, pensado para resolver algún tipo de problema con el sistema.
Esta comparación de la situación personal del protagonista con los niveles de ejecución es una analogía muy bien llevada por los guionistas de la serie, y hace que sus protagonistas conecten mucho mejor con sus seguidores más técnicos (y eso es algo que nos encanta).
Angela y su ataque con el Rubber Ducky
Si alguien ha sufrido un cambio radical en su forma de pensar entre la primera y segunda temporada ha sido el personaje de Angela. De ser una mera acompañante que no terminaba de conocer su posición en la trama y verse sorprendida por los acontecimientos, pasó a tomar la batuta y llevar la iniciativa en muchas acciones cruciales, si bien sus motivaciones parecen seguir siendo las mismas.
En este capítulo Angela recuerda que aún tiene en su poder una herramienta que los miembros de Fsociety le dieron como plan B, en caso de que el plan de la femtocelda fallase. Esta herramienta no es otra que el conocido Rubber Ducky, preparado para acceder a un sistema y ejecutar comandos en forma automática que le permitan obtener información confidencial.
Al estar ya programado, Angela solo necesita conectarlo al PC de la persona de quien quiera obtener información. El principal problema a sortear es conseguir que la secretaria que vigila el despacho al que quiere acceder deje su puesto durante un breve espacio de tiempo. Para ello, Angela echa mano de la veja y conocida Ingeniería Social.
Con un guion bien establecido y sabiendo sortear las excusas que la secretaria le va sacando, Angela consigue que esta abandone su puesto y se cuela en el despacho donde se encuentra el sistema al que quiere acceder. Una vez dentro, conecta el Rubber Ducky con la esperanza de obtener las credenciales de acceso del usuario de esa máquina para luego, en la tranquilidad de su despacho, suplantar su identidad en la red corporativa y acceder a información confidencial que le será de utilidad para su causa personal.
Una pequeña salvedad
Hay un detalle que los guionistas quizá han pasado por alto y es que, cuando Angela accede a esa computadora, se encuentra bloqueada y se observa la pantalla de login de Windows. En un ataque real esto supondría un serio problema, ya que los scripts existentes para Rubber Ducky (al menos los que había en la fecha en las que ocurre la acción) no permiten averiguar esta contraseña, al menos no en un corto espacio de tiempo.
Esto hubiera sido diferente si Angela tuviese acceso a un dispositivo USB como el que se presentó la semana pasada, que permitía a un atacante obtener las credenciales de acceso de un usuario en menos de 15 segundos, siempre que este ya se hubiese registrado en el sistema, tal y como parece que era el caso. Vamos a darles a los guionistas y asesores técnicos el beneficio de la duda y aceptar que se consiguen las credenciales.
Aún salvando este escollo, tras realizar este ataque lo que obtendríamos sería el hash del usuario y de la contraseña, y para averiguar estas credenciales Angela debería saber a qué palabras o frases corresponden estos hashes. Por suerte Mobley ya se encargó de preparar la siempre útil herramienta Mimikatz dentro del Rubber Ducky, para que se ejecutase tras este ataque y muestre las contraseñas en claro:
Con estos datos, Angela puede conectarse en el dominio de E-Corp desde su puesto como si fuera el usuario del cual obtuvo credenciales, y acceder a la información clave en su lucha personal.
Por cierto, en algunos foros comentan que el nombre de usuario y la contraseña hacen referencia a la serie Friends, siendo el nombre de usuario la unión del nombre de dos de los personajes principales (Joseph “Joey” Tribbiani y Rachel Green) y la contraseña una mención a un capítulo de esta memorable serie: el del Holiday Armadillo o Armadillo Navideño.
Vamos a guardarnos esta pantalla porque va a servirnos para desvelar el easter egg de este capítulo.
Elliot y el hacking remoto de un smartphone
El otro hack importante de este episodio lo realiza Elliot y es un ataque complicado (aunque teóricamente posible) a un smartphone. La idea es infectar a un miembro del grupo Dark Army con un malware que permita espiar sus comunicaciones, concretamente sus llamadas.
En esta escena Elliot utiliza un dispositivo un tanto especial y no es otro que el Pwnie Express Pwn Phone, que realmente se puede adquirir, aunque ya avisamos que no es precisamente barato. Resulta mucho más económico, y además aprenderemos bastantes cosas en el proceso, si decidimos construirnos nuestra propia versión utilizando un terminal Android de bajo coste con ciertas características.
Lo que importa no es tanto el dispositivo en sí como las herramientas utilizadas. Hemos de tener en cuenta que un terminal con este software instalado no realiza nada de forma automática, puesto que, en esencia, se trata de un móvil con una versión especial de Kali Linux.
Para conseguir su objetivo, Elliot utiliza dos scripts que no existen (o al menos no de forma pública). Usando el primero contra el número de teléfono de su objetivo, Elliot consigue enviar un mensaje al dispositivo vía SMS a la tarjeta SIM, y le devuelve el checksum criptográfico de esta SIM.
Una vez obtenido este dato, vemos cómo utiliza el otro script para enviar malware a la propia tarjeta SIM y conseguir que se ejecute, para espiar las conversaciones telefónicas de la víctima.
Si bien estos ataques o al menos la forma de realizarlos no existen como tales, sí que se utilizan técnicas y vulnerabilidades en las tarjetas SIM que se sabe que fueron utilizadas por algunas agencias de inteligencia como la NSA durante años.
Si echamos la vista atrás podemos recordar el caso de Gemalto, el mayor fabricante de tarjetas SIM del mundo, que en febrero de 2015 declaró haber sido objetivo de las agencias de inteligencia de Estados Unidos y Reino Unido. Al parecer, consiguieron infiltrarse mediante un ataque dirigido a empleados a la red de la empresa para descubrir que muchos fabricantes de tarjetas SIM enviaban el checksum criptográfico de las tarjetas a las redes de las operadoras sin cifrar.
Con esta información en su poder, los agentes británicos y estadounidenses pudieron espiar las comunicaciones realizadas por un buen número de usuarios. Este sería el ejemplo en el que se basa el ataque que realiza Elliot sobre un integrante de Dark Army, aunque simplificándolo bastante para agilizar el ritmo del episodio.
Como dato curioso, Darlene se queda monitorizando las conversaciones una vez que el smartphone ya ha sido comprometido y, debido a que se realizan en chino, utiliza el sitio Real Time Translation, que se puede visitar aunque no es real. Si bien no parece ocultar nada extraño, a primera vista vemos que bajo el título hay un comentario realizado por una tal D. Haze… ¿tal vez haciendo referencia a Dolores Haze, el nick de Darlene en los chats por IRC con Elliot?
Un easter egg duro de pelar
Por supuesto que no podía faltar la búsqueda de guiños en un capítulo tan interesante como este.
Como ya hemos indicado, la pantalla con las credenciales de acceso que consigue robar Angela es la pista principal para uno de los easter eggs más complicados a los que nos hemos enfrentado. Si nos fijamos en el dominio y accedemos al de E-Corp que se observa accederemos a una web aparentemente en mantenimiento:
Sin embargo, hay un enlace que permite acceder como empleado; cuando pulsamos sobre él veremos cómo aparece ante nosotros una escueta pantalla de login. Si introducimos el usuario y la contraseña obtenidos por Angela nos aparecerá un mensaje indicando que esa cuenta ha sidotemporalmente suspendida por problemas de seguridad y se nos invitará a contactar con el servicio de soporte en una dirección de correo:
Eso es exactamente lo que hicimos, y obtuvimos una respuesta automática que indicaba la recepción del mensaje con nuestra consulta. Además, el servicio de soporte nos proporciona un número de caso sospechosamente largo:
Este número debía contener algo y tras dar muchas vueltas y consultar foros donde otros seguidores de la serie debatían sus teorías, alguien encontró la solución. Teníamos que dividir el número en bloques de 4 cifras y utilizar un conversor de hexadecimal a otros formatos para obtener la siguiente frase en un idioma más o menos comprensible… siempre que se sepa leer chino, claro está.
Por suerte, Google translator acudió al rescate y vimos cómo esos caracteres se transformaron en algo más legible, aunque sin dejar de ser enigmático:
Suponemos que la mención de “juego de palabras cruzadas” hace referencia a un crucigrama y, pensándolo bien, en el capítulo 4 de esta temporada se vio a un personaje sin identificarresolviendo uno de estos pasatiempos.
¿Tendrá relación con alguna pista importante? ¿Estarán los guionistas diciéndole a los seguidores que no sigan pistas falsas? Quién sabe. Lo único seguro es que disfrutamos resolviendo estos retos casi tanto como viendo la serie.
No te pierdas los próximos análisis de Mr. Robot, ya que se acerca el final de temporada y de seguro los guionistas nos dejarán varias sorpresas.
Fuente:https://www.welivesecurity.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
