Ingeniería Social aplicada a la U.N.A.M

Ingeniería Social aplicada a la U.N.A.M

            Hoy 14 de febrero de 2015 hace unas horas que el estimado Manuel Haro (alias Tuxmen) publicó un enlace para todos los que son estudiantes, docentes o administrativos de la U.N.A.M. (Ya sea preparatoria, universidad, maestría, doctorado, etc.) pudieran descargarse el software de Wolfram Mathematica. Bueno, como a mí me gusta eso “probar” la seguridad :v de algunos sistemas, y sobre todo, la lógica que manejan pues me puse manos a la obra a intentar descargar un software de paga de manera gratis rompiendo un poquito las reglas :0

Img. 1.0 Aquí tenemos la publicación de Manuel Haro (Tuxmen) en la que se muestra el enlace publicado por la U.N.A.M.

Después de echar un ojo a lo que rezaba debajo de la imagen leí que decia "Sin costo" etc. Pues bien, pensé que era para el publico en general :'v Tal fue mi sorpresa cuando leí que sólo podían ingresar aquellos que son estudiantes de bachillerato, de licenciatura, de posgrado y Académicos. Bien, decidí hechar mano a todo lo que he aprendido respecto a "comprobar la seguridad de un sistema" pero, más que nada, a probar que tan buenos son los de la U.N.A.M. a lo que se refiere a  no comprometer información. En el tecnológico que estudio tenemos muy en cuenta eso :D

Img. 1.1 Primero ingresé al enlace que estaba en la publicación, confirme mis sospechas, la U.N.A.M. no da nada gratis :v como sea, ví las opciones con las que contaba, ví que tenia que registrarme y pensé "¿Pero que no es verdad que si hago mi cuenta en Wolframe Alpha gratis tengo todo el feneficio?" Pues... no, lo vemos en la siguiente imagen </3

Img. 1.2 Confirmamos, para descargar lo generado de una formula te piden que obtengas la versión "Pro", algo que te da más beneficios y demás que no necesitamos, muy bien, todo hasta aquí sin problemas, ahora fue el momento de "violar" por así decirlo la información PUBLICA de internet xD

Bien, después de ese pequeño y breve resumen jajaja vamos a la acción por así decirlo :'v Primero que nada, abrí el enlace de la Img 1.1 el enlace a www.comundad.unam.mx como se muestra en la siguiente imagen:

Img. 1.3 Como vemos se nos muetran 1 opciones a la vista, la 1.- de iniciar sesión si es que tenemos cuenta en la comunidad unam y la 2 de solicitar una cuenta.

 Pues bien, en la imagen anterior vemos un curioso caso, podemos usar Social Engineer para "obtener" nuestra cuenta U.N.A.M. de alguien que nunca se hubiera registrado :p

Img. 1.4 Tenemos unicamente una opción, vemos en el texto que dice "Para solicitarlo, debes ser estudiante, académico, investigador o administrativo de la U.N.A.M." obviamente sabemos que no esta el 100% registrado de la U.N.A.M. :v

Bueno, en la siguiente imagen vemos la nueva página que se nos habre al momento de clickear en "Registrarse ahora", tenemos 4 identificadores por así decirlo, 2 campos que llenar,  bien, podemos intentar un By Pass con simplemente usar el ejemplo que ahí manejan el "4120..."

Img. 1.5 Llenamos los datos con la información que nos da el ejemplo para ver que ocurre al momento de intentar enviar los datos :v

Bien, al parecer hemos entrado xD ahora el problema será saber cual es nuestro nivel y plantel :'0

 Img. 1.6 Vemos que tenemos 2 campos, 1.- es para seleccionar nuestro plantel, carrera y el 2.- es para acceder al SIAE que es un especie de control escolar, bien, como tenemos dudas de "nuestro" plantel pues vamos a esa página a probar suerte :)

Bien, ahora rellenamos unicamente el campo de "Usuario" puesto que no disponemos del Nip :'v bien,clickeamos en acceder para que que sucede :D después de que nos mande el mensaje "Si udted ha olvidad su Nip presione aquí" debajo del botón acceder, clickeamos en "aquí"

Img. 1.7

Woow hemos logrado saber de quién es la cuenta, pero, no sabemos su respuesta xD

Img. 1.8

Bien, para no complicarnosla más xD recordemos que en la imágen 1.5 nos daba la opción de ingresar con "nuestro" RFC así que me puse a googlear (Google Hacking) un poco sobre los docentes de la U.N.A.M. que no estuvieran interesados o que no den materias relacionadas con matemáticas :v como se ve en la siguiente imágen: 

Img. 1.9

Entre todos los docentes que encontre el chiste ahora era encontrar uno que estuviera en wikipedia o que google me arrojara sus datos como fecha de nacimiento y lugar de nacimiento :B De varios documentos encontre al licenciado en Economía Rolando Cordera Campos, es de lo más obvio que no estará interesado en una aplicación para realizar calculos de derivadas o integrales etc.

Img. 2.0

Llegados a este punto es cuando hacemos uso de una página muy buena para obtener el RFC de alguien (en concreto de Rolando xD)

Rellenamos los datos y precionamos en el botón de "Calcular". Ignoren la notificación de Dropbox :v

Img. 2.1

Ahora tenemos su RFC :DDD es momento de volver a probar suerte xD

 

Img. 2.2

 Regresamos al apartado de crear una cuenta, pero, ahora con datos RFC :B Los llenamos y clickeamos en "Enviar"

Img. 2.3

Muy bien, hemos creado nuestra cuenta en comunidad.unam.mx xD ahora pasamos a rellenar a lo siguiente:

Img. 2.4

Después de rellenar todos los datos es momento de clickear en "Crear mi cuenta" :B

Img. 2.5

 Después de que hemos clickeado en "Crear mi cuenta" en la parte anterior, nos abre la nueva página en la que simplemente damos clic en "Finalizar" :v

Img. 2.6

Bien, para comprobar que todo esta bien y no hay problemas nos vamos a https://login.microsoftonline.com a iniciar sesión con nuestra nueva cuenta :'v

Img. 2.7 Como se puede ver no hubo errores al iniciar sesión

Hecho lo anterior ahora vamos a la página de wolfram a crearnos una cuenta :B
https://user.wolfram.com simplemente rellenamos todos los campos y clickeamos en "Create Wolfram ID"

Img. 2.8

Img. 2.9

 Bien, nos han enviado un correo es hora de checarlo para validar nuestra cuenta xD

3.0

 Clickeamos en el enlace que nos llego, y nos redireccionará a la página de wolfram :v

Img. 3.1

Como podemos ver en la siguiente imagen se a validado nuestro ID :D ahora, nos deslogueamos en la esquina superior derecha en "Sign out" y nos volvemos a loguear en la misma página de https://user.wolfram.com después vamos a  http://www.wolframalpha.com/ y nos logueamos (en caso de ya tener la sesión iniciada, nos deslogueamos y nos volvemos a loguear :v)

Img. 3.2

Img. 3.3

Img. 3.4

Img. 3.5

Img. 3.6

Después de lo anterior nos vamos a nuestro correo y vemos que tenemos un nuevo correo, lo abrimos  y clickeamos en el primer enlace :B

Img 3.7

Nos mandará a la siguiente página (imágen siguiente) donde de ser necesario rellenaremos los datos de contacto faltantes :v más abajo (me falto la captura x.x) elegimos nuestros productos que necesitemos, en este caso fue Wolfram Mathematica 10.0.2 y la plataforma la dejamos en "All"

Img. 3.8

Muy bien, después de la parte anterior nos mandará a la siguiente parte (siguiente imágen) Como podemos ver ya tenemos nuestro código de activación y también los datos del producto

Img. 3.9

 Ahora lo siguiente será ir de nuevo a nuestro correo y veremos uno nuevo de Wolfram, lo abrimos y clickeamos en el primer enlace :D

Img. 4.0

Como vemos nos ha deslogueado, iniciamos sesión de nuevo para verificar "nuestros" datos :v

Img. 4.1

 Hecho lo anterior nos mandará a la siguiente página que vemos en la imágen, vemos los datos del producto, la expiración de nuestra licencia y demás datos, pero, lo que nos importa es el botón rojo que dice "Get Downloads"

Img. 4.2

 Nos mandará la siguiente a la siguiente parte, donde 1.- Tenemos tres opciones de el software Mathematica que son para Mac, Linux y Windows, elegimos la que más se adapte a nuestras necesidades y clickeamos en 2.- Start Download 8)

Img. 4.3

Y... LISTO! Tenemos nuestra descarga de Wolfram completo y sin piratería xD Puro software original conmigo :v

Img. 4.4

Por mi ética le mandaré un correo a la facultad de ingeniería de la U.N.A.M. para hacerles llegar mis conclusiones y entre otras cosas :v