Reset de Passwords, que es y que no es

En el pasado CTF de Tracelabs había una serie de normas muy concretas que estaban totalmente prohíbidas y que en caso de realizarlas suponían la descalificación del equipo:

Vayamos por partes antes de entrar en el tema concreto, la primera norma es clara no contactar con personas relacionadas con los desaparecidos, la segunda norma no seguir ni agregar a amigos o familiares de los desaparecidos, la tercera norma ahora hablaremos de ella, la cuarta norma la cual no comparto para nada, no enviar fuentes OSINT que se han conseguido con sistemas de pago, no lo comprendo, ahora cuando cada vez hay sistemas muchos más completos que ofrecen unos resultados impresionantes no te permiten enviar fuentes conseguidas por esos sistemas de pago, no olvidemos que fuentes OSINT son fuentes que se consiguen de forma pública ya sea de pago o gratis y estamos hablando de personas desaparecidas o sea que cuantas más pistas mejor ¿no? pero bueno es una norma que han impuesto y para mi gusto desacredita un poco el “ayudar a buscar desaparecidos” y se enfoca más a una simple competición CTF, por último la quinta norma no enviar noticias de web sobre conspiraciones y demás.

Pero vamos al meollo de la cuestión, la tercera norma que dice:

Iniciar restablecimientos de contraseña en cuentas

Y este es el quid de la cuestión, del que os queremos hablar, mirad cada red social o web tiene sus sistemas de notificación en cuanto a la recuperación de constraseñas, os vamos a dar algunos ejemplos:

  • Instagram: Para esta red social, le das a “he perdido la contraseña” pones el nombre de usuario, correo o teléfono y una vez le das a enviar enlace eso ya notifica a la cuenta que se ha solicitado una recuperación de contraseña, por lo que el investigado se enteraría.
  • Linkedin: Al igual que instagram una vez pones el correo electrónico se manda una notificación con unos códigos de verificación, por lo que el investigado recibe al instante la notificación
  • Tik Tok: como en los anteriores una vez solicitas con el correo o teléfono la recuperación se manda un código al instante por lo que el investigado recibe notificación.
  • Twitter: Aquí la cosa ya cambia, cuando dices “he olvidado la contraseña” te aparece para que pongas el correo electrónico, una vez lo pones te aparece una pantalla la cual pixela alguna de las letras (ejemplo en la imágen)
No hay reset, solo confirma que existe cuenta

Aquí en este paso aun no se ha notificado nada al investigado, es un paso previo que únicamente te confirma que el correo que has puesto en el paso anterior concuerda con una cuenta que existe en Twitter, ahora si le dieras a siguiente se pasaría a mandar el enlace y se notificaría al investigado. Es decir en este paso en el que se ve en la imagen no se ha solicitado un RESET tan solo es una prueba de confirmación que existe cuenta con ese correo.

  • Facebook: Aquí como en Twitter, es diferente a los demás, cuando dices “he olvidado la contraseña” te aparece para que pongas el correo electrónico, una vez lo pones te aparece una pantalla la cual pixela alguna de las letras (ejemplo en la imágen)
Aquí no se ha notificado al correo que haya un intento de reset

Como véis pasa como en Twitter, Facebook te confirma que hay una cuenta con ese correo eletrónico, paso previo para confirmar y enviar el enlace, es decir si no le das a continuar no se envia el enlace por lo que el investigado no recibe nada, tan solo confirmas que con ese correo existe una cuenta de facebook.

Ante esto vemos la diferencia entre iniciar un reset de contraseña y hacer una comprobación, cualquier investigador OSINT debe conocer en cada tipo de red social o web y si no lo sabe hacer pruebas antes para saber en que webs se notifica antes o no para no poner en sobreaviso al investigado o dejar un rastro.

Y ahora en lo que se refiere a nuestra descalificación en el CTF, uno de los integrantes del equipo el cual era su primer CTF, lo que hizo fue identificar el correo en Facebook, como en la imágen anterior, realmente no hizo un reset de password, tan solo confirmo que existía una cuenta de facebook con ese correo además de que confirmaba otro correo de recuperación con ciertas letas pixeladas. Hasta ahí, sin dar a continuar, sin notificaciones nada por el estilo. Una prueba que confirmaba que el correo que se tenía era el correcto y una pista de la que tirar con otro posible correo.

Pues bien ante esto el jurado nos descalificó al equipo, aunque debatimos lo que pudimos, las respuetas fueron escuetas y directas.

Todo esto da para un debate técnico y léxico, porque ¿que consideramos iniciar un reset de password, cuando lo haces y se notifica al correo o cuando se inicia y como sucede en twitter y facebook no se notifica hasta que le das a siguiente?

Pues para los jueces supone cualquiera de las dos opciones, pero técnicamente desde nuestro punto de vista como analistas e investigadores tanto Facebook como Twitter no sería un inicio de reseteo ya que el investigado en ningun momento va a saber que se le está investigando no va a recibir ninguna notificación y a nosotros como investigadores nos va a dar muchas pistas.

Y para reafirmar más nuestro punto de vista, aunque una de las normas no permita usar herramientas de pago, Lampyre por ejemplo, cuando tu pones analizar un correo electrónico ella misma te da el resultado por ejemplo de Facebook y Twitter que te daría si haces ese primer paso. Es decir que sin hacer un “inicio de reset de password” hay herramientas que saben que existe esa posibilidad de obtener confirmación de correo y correo de recuperación sin hacer reset de password, aquí tenéis el resultado en Lampyre de la búsqueda en Facebook del mismo correo anterior:

Análisis de correo electrónico en Lampyre

Si os fijáis al analizar el correo en Lampyre el mismo hace un Check en facebook, nos confirma que existe una cuenta en Facebook con ese correo y además nos da un posible email de recuperación pixelando como nos ha dado cuando hemos hecho eso en Facebook sin dar reset al password

Técnicamente ¿es un RESET? pues NO! para nada! y léxicamente es un inicio de reset, totalmente discutible cuando un programa de invesetigación nos da el resultado sin haber hecho un inicio de reset en la web.

Así que aunque no estamos conformes con nuestra descalificación por lo menos os queremos enseñar que sucede en cada plataforma y que sobre todo antes de iniciar un reset a correos o cuentas de invesetigados antes hagáis pruebas con vuestras cuentas para saber si se notifica o no previamente.

Y ya para acabar, puestos ha hablar de normas, una que no aparece en Stay Within Scope que os parece intentar hacer inicio de sesión en las diferentes cuentas del investigado mediante contraseñas obtenidas como leaks, ¿eso que sería? te imaginas entrar en su correo o en su facebook, por supuesto es algo que jamás he hecho, ni se me ocurriría ya que eso notifica directamente el intento de inicio de sesión si la contraseña no es válida, pero eso si que tendría que ser una norma extricta por ejemplo. En fin, disfrutad del post y de las investigaciones.

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

code

tres × 1 =