lunes, diciembre 28, 2015

No Lusers - The Game. Mission: Las Vegas

Este es el último post que he dejado preparado en mi periodo vacacional, para desvelaros la verdadera razón de que me haya escondido durante este mes y algo. Si todo va bien, el proyecto estará ya muy avanzado y en breve podrás verlo a la venta en Amazon, así que hazle hueco a tu lista de regalos de Reyes Magos. ¿Qué es para lo que me he ido este mes y medio de vacaciones? Fácil, para hacer un juego de ordenador Retro basado en anécdotas de los hackers en Las Vegas.

Figura 1: No Lusers - The Game. Mission: Las Vegas

Si has sido un amante de los 8 bits, seguro que no te suenan de lejos las aventuras de Leisure Suit Larry. Un juego en el que debes ser todo lo que no se debe ser si no quieres llevar una vida de lujuria, desenfreno y mala gente. Las historias de Larry siempre tuvieron ese toque malvado que hacían que un joven disfrutara de las pantallas de 8 bits como si fueran de realidad virtual. Tenía magia.

Figura 2: Escena de Leisure Suit Larry

Los juegos de 8 bits, y en nuestro caso con partes de aventura conversacional, tienen la gracia de que un equipo pequeño de personas, con las herramientas adecuadas y gran imaginación pueden hacer un producto totalmente adictivio y jugable. En este caso, el proyecto que me propusieron desde los creadores del programa Risk Alert consistía en hacer durante estas navidades una aventura divertida, con el espíritu de los 8 bits - se quiere que pueda correr de forma nativa en los Commodore 64 y Amstrad CPC 464 - con el espíritu de Leisure Suit Larry, pero con las aventuras de mis No Lusers.

Figura 3: Parte de la aventura conversacional en un mockup sobre Commodore

Para eso situaremos a JoseMariCariño en mitad de unas conferencias BlackHat, DefCON y B-Sides en Las Vegas, y saldrán muchos de los amigos de España y LatinoAmérica que han pasado aventuras conmigo allí. Saldrán anécdotas de las charlas, de los torneos de fútbol de HackCup - con fases secretas si consigues ganar el trofeo como lo conseguimos nosotros - y, como no, con las entradas a las famosas fiestas de las empresas de seguridad en Las Vegas. ¿Has oído hablar de ellas?

Figura 4: Gráficos para las fiestas en el juego de "Mission: Las Vegas"
Por supuesto, el final tendrá un desenlace especial que no os puedo desvelar ya que tendréis que jugar esta aventura si queréis verlo. Yo me tengo que encargar de los gráficos, pasarlos a 8 bits, y hacer que la aventura tenga la dosis adecuada de anécdotas y diversión. Eso sí, recuerda que "Lo que pasa en Las Vegas, se queda en Las Vegas", y no podré contar muchas de las cosas que pasaron por allí... pero otras sí.

Figura 5: Gráfico para la parte de preparación de demos en el Hotel.
Tendrás que trucarlas para que funcionen. ¿Cómo hacerlo usando una WiFi infectada?

Ya os contaré, cuando regrese de mis vacaciones, si esta experiencia ha sido fructífera o no. Quién sabe, tal vez deje la seguridad informática de forma definitiva para dedicarme de lleno al mundo de los juegos Retro. De momento, serán A3Media y La Sexta los que lanzarán el año que viene este juego, que espero que no sea el último.

Saludos Malignos!

sábado, diciembre 26, 2015

Cambios en 0xWord para el año 2016

Como ya os había anticipado, mientras que yo sigo de vacaciones hay algunos anuncios que os tengo que hacer y que he dejado planificados para que salgan en posts automáticos. Uno de estos anuncios es referente a los cambios que se producirán en 0xWord para el nuevo año 2016 y que os quiero comunicar con algo de tiempo.

Figura 1: Cambios en 0xWord para 2016

El primero de los anuncios tiene que ver con los Nuevos Packs que se van a estar disponibles desde el lunes 4 de Enero de 2016. La lista de los packs que hemos conformado quedaría de la siguiente forma:

Figura 2: Nuevos Packs en 0xWord disponibles a partir del 4 de Enero de 2016

En un artículo ya os había estado avisando que, desde que se puso en circulación el primer libro de 0xWord - en aquel entonces Informática 64 - el precio de los libros ha sido el mismo. Ha pasado más de un lustro y los costes han ido subiendo poco a poco hasta que hace que sea imposible mantener el precio actual, por lo que a partir del domingo 10 de Enero de 2016, el precio de los libros pasará a ser distinto.

El nuevo precio que ya habíamos estado barajando es el que se le puso al Cómic de Hacker Épico en versión Deluxe, y con él esperamos poder seguir al menos dos o tres años sin que sea necesario tocarlo más. Es decir, que los libros pasarán de costar 20 € a costar 22 € y el libro de 0xWord Pocket Cluster pasará de 16.5 € a 18 €

En Enero habrá dos cursos online de The Security Sentinel en los que se entregarán libros de 0xWord. El primero de ellos comienza el 4 de Enero de 2016 y es el Curso de Seguridad en Redes de 8 semanas de duración donde se entregará el libro de Ataques en Redes de Datos IPv4&IPv6. El segundo de ellos, de 9 semanas de duración, comienza el 16 de Enero de 2016 y es un Curso de Hacking Ético Avanzado en el que se entrega el libro de Pentesting con PowerShell

Figura 3: Curso de Seguridad en Redes de The Security Sentinel

Por último, os informo de que en 2016 saldrán muy pronto dos nuevos libros que se estarán ultimando estas navidades, así que la editorial continuará creciendo. Y eso es todo, espero que estéis disfrutando de las vacaciones, y ya nos vemos a mi vuelta de vacaciones a mediados de Enero de  2016, que ya queda menos para mi regreso.

Saludos Malignos!

miércoles, diciembre 23, 2015

Felices Fiestas & Happy "Chu Zausend and Sixtíín"

Probablemente muchos de vosotros ya estéis de vacaciones, probablemente para muchos hoy es el último día de trabajo. Es por ell que he elegido que fuera hoy día 23 de Diciembre de 2015, cuando se cumplen 20 días exactamente después de que parase la publicación de posts en este blog, el momento concreto para desearos unas felices fiestas y un buen año 2016. Que ya nos conocemos y luego os vais de fiesta vosotros en Navidades y leéis esto el 15 de Enero de 2016.

Figura 1: Happy 2016

Para hacerlo, decidí sacar papel, lápiz y rotulador - nada de trabajar al estilo iPad al que suelo dibujar muchos de los No Lusers - y volver a haceros una felicitación navideña "bronxtolita" de las que solía hacer yo años atrás. Es decir, una felicitación navideña con mis malos dibujos, sentido del humor pésimo y mala leche, como siempre han sido.

Figura 2: No Lusers - "Felices Fiestas & Happy 2016"

Mientras tanto, espero que estéis disfrutando las vacaciones tanto como yo, que si todo va como debe aún me quedan semanas de diversión, desconexión, algarabía, alboroto y actividades - ya os haré un resumen a mi regreso de todas las malignidades a las que me haya dado de sí este periodo -. Nos veremos el año que viene.. sí, en "chu zausend and sistíín", con muchas ganas de hacer muchas cosas y energía para ello.

Saludos Malignos!

viernes, diciembre 04, 2015

No es un "Adiós" es un "Hasta Luego"

No sabría cuándo llegaría el día, pero sí tenía claro que tenía que llegar en algún momento. Han sido casi diez años seguidos, 3735 entradas publicadas, más de 30 millones de páginas vistas y decenas de miles de comentarios los que han mantenido esta parte de mi vida tan bonita activa y funcionando. Escribir en El lado del mal ha sido el compás que ha movido los biorritmos de mi vida. Un ciclo de 24 horas alrededor del reloj para decidir qué iba a publicar mañana. Un ciclo que no solo he llevado yo sino muchas personas cercanas a mí que se han preocupado cuando no he escrito, que me han preguntado "¿qué vas a escribir mañana?" porque sabían que para mí era importante o que han esperado pacientemente a mi lado en cualquier lugar, esperando a que yo terminase de publicar mi artículo.

Figura 1: No es un "Adiós" es un "Hasta Luego"

Pues bien, hoy ha llegado el día de tomarse unas vacaciones y descansar "Like a Boss". Es el momento de darle al gorro el uso para el que lo compré, que no es más que para hacer SnowBoard. Es el momento de irme a patinar, que he descubierto que me gusta. Es el momento de esconderme en rincones de España y fuera de España, sin llevarme mi ordenador personal. Es el momento de leer, engordar y pasar tiempo con amigos y familiares. Y para contaros esto mucho mejor, os he grabado este pequeño vídeo desde el Executive ShowRoom que hemos montado en Eleven Paths.

Como dice en el título no es un "Adiós" ni mucho menos. Es solo un "Hasta Luego". Confieso que me encanta mi trabajo. Adoro escribir en este blog artículos, trabajar en seguridad informática y dar mis conferencias. A veces estoy muy cansado, pero en mi valoración final, todo lo que es mi día a día, me compensa sobradamente y no se me pasa por debajo del gorro ninguna idea que no sea continuar haciendo esto que hago. Así que, si te gusta venir a leer los artículos de El lado del mal o ver las charlas que doy, no te preocupes, que tendrás mucho más en 2016.


Figura 2: No es un "Adiós" es un "Hasta Luego"

Durante este tiempo en que voy a estar de vacaciones es probable que aún te lleguen cosas que he ido dejando hechas. He grabado varias intervenciones en programas de televisión, saldrá algún vídeo más del programa Risk Alert e incluso alguna entrevista online. También he dejado programados un par de posts con avisos de cosas de 0xWord que saldrán este mes y alguno que saldrá en Enero. Luego, si todo va bien, regresaré el 18 de Enero de 2016 y empieza a preocuparte solo si pasada esa fecha sale un artículo titulado "Este sí es el último post de El lado del mal", porque entonces significará que ya no puedo escribir más. Si sale ese artículo que tengo escrito desde hace tiempo y programado para cuando me vaya, más te vale que todo lo que tenías que haberme dicho, ya me lo hayas dicho, porque ya no habrá más ocasión.

Tomarme las vacaciones este año y desconectar es un premio que me doy porque creo que me lo he ganado. Este año 2015 ha sido un año intenso en vida personal y en mi vida profesional, con muchos cambios, subidas y bajadas, pero que han conformado un periodo de doce meses más que positivo. Como yo suelo decir, han pasado cosas buenas y malas, y las he sentido igual de intensas unas que otras, por lo tanto sigo vivo y con el corazón latiendo fuerte... y eso es genial. Ahora toca descansar un poco y hacer balance de estos años tomando perspectiva, energía y disfrutando de una tranquila-actividad como todo el resto del mundo, que al final no soy más que un individuo más de esta marabunta de bichos sobre el planeta que somos los seres humanos. Esta canción de Platero y Tú, anticipo de la separación del grupo, es la que define correctamente qué es lo que voy a hacer estas semanas.


Figura 3: Voy a parar en el camino...

Pero yo volveré por aquí. Seguro. A dar guerra, a seguir disparando pan de higo, a seguir debajo de este gorro de rayas, detrás de este teclado con el que estoy ahora escribiendo este texto y frente a tus ojos si vienes a verme a una charla. Tú te asomas, yo te canto. Sí, seguro que yo también te echaré de menos a ti, pero verás como se pasa rápido y no es para tanto. Si me escribes un correo durante este tiempo, lo más seguro es que no recibas ninguna respuesta. Si me llamas, probablemente encuentres el teléfono apagado. Si es tan importante y eres tan cercan@ a mí, ya sabrás cómo localizarme de alguna forma... pero no lo hagas si no es para activar la Iniciativa Vengadores como poco, o si el Imperio no está atacando la Academia Jedi.

Y con mi vocación habitual de "servicio público" en este blog, os dejo la agenda de eventos en Diciembre que no debéis perderos. Nos leemos a mi vuelta de vacaciones... si todo va bien. Y esto es todo amig@s, me despido con el habitual...

Saludos Malignos!

jueves, diciembre 03, 2015

"Desenmascarar" cuentas de Twitter a través de Sinfonier

Cuando hablamos de que todo el mundo publica información personal nos viene a la cabeza Facebook o Twitter, estas dos redes tienen la facilidad de exponer nuestros puntos de vista u opiniones de manera muy rápida, pero también tiene un problema, que los usuarios que están detrás de estas cuentas algunas veces - sobre todo cuando tienen alguna actividad "peligrosa" - suelen ser bastante anónimos, falsean los datos o los tienen como privados para que solo un grupo de amigos restringido puedan verlos.

Figura 1: Cómo "desenmascarar" cuentas de Twitter a través de Sinfonier

¿Qué es lo que hemos intentado en Sinfonier? Relacionar varias redes sociales para comprobar si los datos facilitados son reales, crear vínculos entre las cuentas para después poder identificar al usuario a través de descuidos en cuentas relacionadas o ver si las relaciones con personas son iguales o distintas entre las diferentes redes sociales. Al final, con esta información se puede llegar a hacer el doxing de una persona, para acabar en a una cuenta que contenga asociado un número de teléfono o una dirección de correo electrónico atribuible a una identidad real, en lugar de una cuenta ficticia en una red social.

Para conseguir este objetivo vamos a utilizar otras redes sociales para lograr crear estas relaciones. Como fuente inicial de información utilizaremos el Spout de Twitter que tenemos disponible en Sinfonier, pero podríamos empezar por otra red social. En este caso se supone que se quiere sacar toda la información asociada a una cuenta de Twitter de la que no se sabe quién está detrás. En los Tweets que nos vaya devolviendo pueden aparecer enlaces a otras redes a través de las URLs publicadas, en este caso nos centraremos en dos: Youtube y Soundcloud.

Figura 2: Información de la API de Youtube

En primer lugar, ¿por qué YouTube? muy sencillo, te proporciona toda la información que tiene disponible y además con un número de peticiones a la API muy por encima de lo normal  - 50 millones de peticiones a día -. Además te permite también hacer búsquedas complejas de vídeos. Con todo esto, tenemos una mina de oro de información disponible. Si quieres monitorizar un canal concreto puedes hacerlo con los módulos (Spouts) que hemos creado son los siguientes:

Figura 3: Spouts para Youtube en Sinfonier

Estos dos módulos son de búsqueda y se diferencian en la cantidad de parámetros que se le introducen. Los valores de entrada son los siguientes. Para más información Developers Youtube:
query - El parámetro que especifica el término de consulta que se debe buscar.
type - channel | video | playlist
order - date | relevance | rating | title | videoCount | viewCount
apiKey - Nuestra apiKey
MaxResults - Hasta un máximo de 50 por página
frequency - Segundos entre cada petición
safeSearch - moderate | none | strict
publishedAfter - publicado despues de (YYYY-MM-DDTHH:MM:SSZ)
publishedBefore - publicado antes de (YYYY-MM-DDTHH:MM:SSZ)
videoDuration - any | long | medium | short
location - Define un área geográfica circular y también restringe la búsqueda a los vídeos que especifican, en sus metadatos, una ubicación geográfica que cae dentro de esa área. Ejemplo (37.42307=-122.08427)
locationRadius - El valor del parámetro debe ser un número de punto flotante, seguido de una unidad de medida. Unidades de medida válidos son m, km, pies, y mi. Por ejemplo 5km.
Por otro lado los siguientes módulos nos dan la capacidad de poder buscar todos los detalles relacionados con un canal o vídeo.

Figura 4: Bolts de extracción de información de YouTube en Sinfonier

Con estos módulos podemos crear las relaciones de las que hemos hablado anteriormente, a partir de un vídeo podemos ver quien lo ha subido o si tiene comentarios, a su vez este canal puede tener más vídeos, o podemos ver que resultados nos devuelve YouTube al hacer una búsqueda de vídeos relacionados, las posibilidades son enormes.

Pero, ¿cómo podemos saltar de uno a otro? Pues gracias a que en la respuesta que nos devuelve cada Bolt nos proporciona esa información. Esta sería la respuesta de YoutubeVideoInfo: Como vemos, tenemos el channelId con el que preguntar por la información usando el módulo de YoutubeChanneInfo.

Figura 5: Información extraída de Youtube

Y en este nos aparece otro identificador importante, con el cual vamos a dar el salto a otra red social, Google+.

Figura 6: Datos de la cuenta Google+

Ahora que tenemos el identificador, simplemente usamos el nuevo módulo para Google+ que recoge la información de un usuario y la podríamos contrastar con la encontrada anteriormente.

Figura 7: Bolts para Google+ en Sinfonier

La información que nos devuelve puede ser de lo más extensa, dependiendo de lo que el usuario haya dejado público o se haya olvidado de eliminar en la cuenta que ya no recordaba.

Figura 8: Información relativa a Blogger

Incluso en estos datos o en los recogidos por ejemplo en comentarios de YouTube podemos encontrarnos con enlaces a blogs de blogger. Para estos casos hemos preparado cinco módulos para extraer información. Con toda esta información nos podemos crear un mapa de entidades virtuales y relacionarlas.
Figura 9: Bolts para Blogger en Sinfonier

Otro caso interesante es el de SoundCloud, una red social donde lo que se comparte es música, y esta aparece también publicitada en tweets que hemos recogido anteriormente, por lo que podríamos buscar también información en otra red social a partir de esos elementos de enlace que nos aparecen en las URL de tweets al igual que en YouTube.

Para esta red social tenemos un par de módulos que nos darán la información que contenga la canción que se ha publicitado y la de usuario que la sube, más información en developers SoundCloud.

Figura 10: Módulos para SoundCloud en Sinfonier

Y como podemos ver la cantidad de información que generamos y lo conectada que está, pudiendo crear un modelo para una o un grupo de personas con parámetros similares. En la siguiente imagen vemos a modo de ejemplo la información a partir de un tweet.

Figura 11: Mapa de relaciones sociales creado a partir de una cuenta de Twitter

Como podéis ver la información es mucha y muy variada. Además, si esto lo automatizamos podemos lograr muchos más perfiles y además relacionados y centrarlos en una temática, dependiendo de la fuente de información inicial, todo ello en Tiempo Real.

Figura 12: Dashboard de vigilancia de actividad en redes sociales creado con Sinfonier

El gráfico anterior es un ejemplo de la salida de todo esto sobre un dashboard que creamos para el último MeetUP de Sinfonier sobre Ciberterrorismo. Con él hemos creado un mapa de relaciones de redes sociales al que podríamos sumar la información de la geolocalización de los tweets, la información de los metadatos de las imágenes vinculadas, o lo que se quisiera. Toda la información sería útil para intentar descubrir quién está detrás de una determinada cuenta de Twitter o quiénes son sus contactos. Detrás está corriendo una topología similar a la siguiente:

Figura 13: Topología de Sinfonier para la creación de este Dashboard

Como hemos dicho, este trabajo lo presentamos @pejema44 y @Macario8 y esperamos que os guste y podáis sugerirnos nuevas ideas para implementar o redes sociales de las que extraer y relacionar información. Recordad que ahora tenéis activo un concurso en el Sinfonier Community Contest por el que podéis ganar 3.000 USD por vuestra topología de ciberseguridad o por vuestro Bolt. En la Comunidad de Eleven Paths tenéis toda la información disponible sobre el concurso y además podréis preguntar y aportar en la sección dedicada a Sinfonier donde esperamos que puedas resolver tus dudas con el uso de esta tecnología. Por supuesto, lo mejor es que te leas el libro de Sinfonier para la generación de ciberinteligencia de seguridad.

Autor: Miguel Hernández Boza

miércoles, diciembre 02, 2015

Evident X-Stream: Deep Packet Inspection en España

Estos días se ha armado un poco de revuelo por culpa de la aparición de información relativa a un nuevo sistema de análisis de información capturada en la red llamado Evident X-Stream. De este sistema poco se sabe aún más que la información que se ha publicado en algunos medios que dicen tener acceso a los documentos que describen el proyecto que parece ser que está desarrollado BEA Systems, pero que no deja de ser una consola de análisis de evidencias capturadas por la red.

Figura 1: Evident X-Stream - DPI en España

Como se puede ver en el gráfico, el sistema podría ser similar al archifamoso X-KeyScore que utiliza(ba) la NSA para almacenar y procesar todas las evidencias de información capturadas en la red para la generación de inteligencia en investigaciones de delitos en la red. Es decir, algo similar al SITEL que existe para la interceptación legal de las telecomunicaciones, pero centrado en los contenidos transmitidos por la red de datos.


Figura 2: Esquema de funcionamiento de Evident X-Stream

Al final, el soporte se basa en capturar evidencias en el los puntos de conexión a la red, en este caso en los ISP, y aplicar sistemas de Deep Packet Inspection para capturar el tráfico, recomponerlo como hacen los sniffers de red y generar objetos entendibles a alto nivel, como correos electrónicos, mensajes de datos, ficheros transmitidos por la red, etcétera. 

Figura 3: Detalle del sistema X-KeyScore para investigar e-mails

Por supuesto, a día de hoy esto no está cubierto por la legalidad de nuestro país, así que habrá que ver si se puede llegar a aplicar o no. Las noticias especulan que el Ministerio de Interior querrá ponerlo en marcha para el año 2017 en España, y aplicarlo en casos de seguridad nacional o ciberterrorismo, aunque para ello se deben dar aún muchos pasos. Con sistemas como estos, posiblemente se podrían atacar muchos de los sistemas de comunicación usadas por grupos terroristas.

El debate Político y Social

Al final, los sistemas de cifrado extremo a extremo, los canales de comunicación encubiertos basados en sistemas infrecuentes, el so de técnicas como la esteganografía o los canales paralelos de telecomunicaciones siempre dificultarán el 100% de la inspección, pero lo más importante de todo seguirá siendo el debate social, político y legal.

Ahora, con la sensibilidad alta por los atentados de París, probablemente muchas más personas están dispuestas a mover el dial de la privacidad un poco más cerca del de la seguridad, para defender otros derechos como el derecho a la vida a cambio de pagar un poco con el derecho a la privacidad. Lo importante del debate es decidir si queremos que se puedan investigar los delitos en Internet o no. Si estamos dispuestos a que alguien, con la supervisión de la justicia, pueda abrir nuestros correos electrónicos al igual que se abren las maletas en los aeropuertos o no. Si queremos que nos pasen un escáner a nuestros archivos al igual que nos pasan el escáner 3D en las fronteras.

Saludos Malignos!

martes, diciembre 01, 2015

Google se lleva tu tráfico HTTP a pasear por Suiza

Hace tiempo que ya os hablé de SPDY, el protocolo que ha impulsado Google para eregirse en el "garante" de facto de la privacidad mundial del tráfico HTTP de los clientes sin que muchos de estos sean conscientes de esto. La idea, como ya os conté en el artículo es tan sencilla como que todo el tráfico que se genera en el cliente de navegación se cifra y se envía por defecto a uno de los servidores de Google para que este sea después el que lo encamine hacia el servidor web al que se quiere conectar un usuario.

Figura 1: Google se lleva tu tráfico HTTP a pasear por Suiza

Para que podáis entenderlo fácilmente. Supongamos que yo estoy en mi ciudad de Móstoles y me quiero conectar vía HTTP a un servidor que se encuentra en Móstoles. Si lo hago desde un terminal Android con el cliente Chrome por defecto, todo mi tráfico se irá previamente a pasear por los servidores de Google y luego regresará otra vez a Móstoles vía HTTP.

Figura 2: Con SPDY el tráfico HTTP de tu navegador se va a Google sí o sí

Si quieres probar este comportamiento en un terminal Android es muy sencillo. Basta con que navegues a cualquier servicio de comprobación de dirección IP que funcione vía HTTP y compruebes cuál es la dirección pública que estás utilizando. Como se puede ver en esta captura, la dirección IP que tenemos es una 66.249.81.159.

Figura 3: Chrome 46 en Android pasando el tráfico por la dirección 66.249.81.159

Si ahora vamos a ver en qué ubicación física se encuentra esta dirección, vemos que está en Suiza. Es allí donde Google ha puesto algunos de sus servidores SPDY para Europa. Ya sabéis que hay restricciones serias para llevarse el tráfico fuera de Europa a la ligera debido a las protecciones legales, así que Google los ha instalado en su centro de datos que tiene en el país suizo. Parece una metáfora. Igual que muchos se llevan a este país alpino su dinero, Google se lleva otra cosa muy valiosa, tus datos.

Figura 4: Salimos por una dirección IP sita en Suiza

Por supuesto, esto se ha configurado por defecto en las últimas versiones de Android, por lo que si un usuario quiere dejar de enviarle sin saberlo todo su tráfico HTTP a Google, incluidos todos los datos que se envían en formularios, como datos personales, datos de navegación, e incluso las credenciales que se pudieran usar vía HTTP, debe entrar en una página de configuración de Chrome://flags y deshabilitar SPDY.

Figura 5: SPDY deshabilitado en Chrome 46 sobre Android

Una vez que hayas deshabilitado el uso de SPDY, puedes repetir el experimento. Conéctate otra vez a comprobar tu dirección IP de navegación y obtendrás la dirección real de tu ISP. En este caso la dirección IP de una conexión en Telefónica.

Figura 6: El tráfico HTTP ya no pasa por los servidores de Google en Suiza

Como se puede comprobar, ahora el tráfico sí que está saliendo de Madrid, que es la ubicación desde la que se ha hecho esta prueba, y por tanto todo el contenido HTTP generado desde el terminal Android con este navegador Chrome 46 no está siendo enviado a los servidores de Google en Suiza.

Figura 7: Tráfico enviado directamente de nuestra ubicación orginal

Este cambio lo impone Google como Opt-out, es decir, que son los usuarios los que deben deshabilitarlo y si no está activado. Así que, igual que cuando decidió con el Google Car llevarse todo el tráfico WiFi sin cifrar que pudiera capturar haciendo WarDriving, ahora se lleva todo el tráfico HTTP sin cifrar a sus CPDs, sin haber hecho mucho ruido, sin que casi nadie se haya dado cuenta y, por ahora, por el momento, no piensa dejar que el usuario pueda elegir otro servidor SPDY Proxy al que entregar su confianza.  Si has visto mucho tráfico en tus servidores web llegando desde Suiza, ya sabes el porqué.

¿Es este un comportamiento que se espera en un mundo de Neutralidad Digital o se podría ver como un abuso de posición dominante de la que misma que se quejaba Google hace no tantos años cuando decía eso de Don´t Be Evil?

Saludos Malignos!

lunes, noviembre 30, 2015

Do the Basics: Elimina el Low-Hanging Fruit

Aprovechando que hoy 30 de Noviembre es el Día de la Seguridad Informática os voy a dejar aquí la conferencia que preparé para el ya pasado CyberCamp 2015 titulada "Low-Hanging Fruit". La charla la preparé pensando en todos aquellos que dan recetas mágicas para solucionar los problemas de seguridad de una empresa centrándose en un producto o una solución mágica, cuando la realidad de ser el encargado de llevar la seguridad en una organización es mucho más compleja. 

Figura 1: Do the Basics: Elimina el Low-Hanging Fruit

También la hice teniendo en mente todos los que llevan la gestión de la seguridad de una compañía a base de comprar o poner en su plan del año la tecnología o el proyecto de moda del año, sin haber hecho los deberes básicos todavía.

Do the Basics

Está muy bien que una empresa ponga sistemas Anti-APT que miren los Callbacks o que tengan una Big Data de IoCs (Indicators of Compromise) que cruce todo el tráfico de la red con sistemas en cloud de correlación de eventos, pero antes de eso hay que tener el software actualizado, eliminados todos los bugs sencillos de explotar en tus webs o haber resuelto el problema de la gestión de contraseñas e identidades en tu empresa, que es un problema de hace muchos años.


Para eso, la charla comienza hablando de los bugs en software que hemos vivido en los últimos tiempos, como HeartBleed o ShellShock y del equipo de Google Project Zero para buscar "Low-Hanging Fruit" en los proyectos más utilizados en Internet. Dentro de la empresa, me paro a ver como una organización como Department of Homeland Security, de la que se supone que debe ser una de las más fortificadas, tiene exactamente los mismos problemas con Low-Hanging Fruit que el resto de las empresas. Contraseñas por defecto, bugs de SQL Injection, sistemas sin actualizar e incluso problemas de inventariado.

Figura 3: Usuarios del army.mil aún en metadatos de docuemntos PDFs

Años después de la creación del programa CLEAR para la eliminación de fugas de datos en documentos público,  el propio army.mil sigue publicando documentos con metadados que muestran los usuarios de sus sistemas, algo que debería estar erradicado. Eso, sin contar que las empresas líderes que comercializan sistemas DLP (Data Loss Prevention) también tenían fugas de datos en sus documentos públicos.  El vídeo de la conferencia completa lo tenéis aquí mismo.


Figura 4: Conferencia de CyberCamp 2015 "Low-Hanging Fruit" de Chema Alonso

Al final, lo que se trata es de resolver el dilema entre ser Elsa o Anna de Frozen (yeah!). Es decir, Sentirse Seguro como Elsa y con mucho presupuesto comprarse un bonito castillo o Estar Seguro y luchar contra los problemas afrontando todas las adversidades. Gestionar la seguridad es complejo, y para explicarlo utilizo una frase que uso Linus Torvalds hace muchos años en una entrevista: "El tiempo de soluciones sencillas a problemas sencillos hace mucho que pasó"

Do the Basics (understood?)

Así que, si tienes que gestionar la seguridad de una empresa, que no te metan un Spear Phishing porque no hayas configurado bien el SPF y no hayas puesto un sistema de Antispam robusto. Si te roban los datos de tu base de datos de clientes que no sea porque no has puesto un control de acceso con segundos factores de autenticación en tu plataforma. Si te roban los archivos de tu equipo que no sea porque no tienes el software de tus puestos de trabajo actualizados. Si te ownean la compañía que no sea porque tenías un SQL Injection en la web de una de tus promociones en Internet. No te comas un OWASP TOP 10 que debería sacarte cualquier sistema de Pentesting Persistente.
Do the Basics, y luego piensa en los siguientes pasos que deberás ir aplicando en la gestión de tu compañía, mira cosas avanzadas como buscar los Hidden Links de tu red o hacer investigación del malware en tu red,  pero no dejes Low-Hanging Fruit que pueda ser aprovechada por super cibercriminales en un APT o un Script Kiddie con ganas de pasárselo bien con tu empresa. Do the Basics.

Saludos Malignos!

domingo, noviembre 29, 2015

Informe Semanal: "La amenaza yihadista"

El jueves pasado, mientras estaba dando una conferencia en el Google Campus con la gente de MasterCard, aprovecharon para entrevistarme para un programa de Informe Semanal que se estaba grabando y que iba a tratar el asunto de la tragedia de París y la reacción de Anonymous contra ISIS. El tema sobre el que versó mi entrevista ya lo conocéis, son los dos artículos que he escrito sobre el tema: "Anonymous vs ISIS: No se puede matar una idea con hacking" y "Las recomendaciones de seguridad del ISIS no son para paranoicos de la privacidad".

Figura 1: Informe Semanal. La amenaza yihadista

El programa salió en antena ayer por la noche, y ya está disponible en la web de RTVE, así que os lo dejo aquí por si alguno se lo perdió y le apetece verlo, que la periodista es de gran calidad y conoce en profundidad todo este conflicto.



Saludos Malignos!

sábado, noviembre 28, 2015

Ya puedes ver "Blues" de Codemotion 2015 en YouTube

Ayer era el Black Friday y yo disfruté la tarde en el Codemotion 2015 donde me hice fotos con amigos, terminé las demos y las diapositivas, jugué en la máquina de pinball que está en la zona de juegos y hasta me tomé una cerveza fresquita con los amigos de TicJob - pasaos a verlos si estáis por allí que son buena gente y amables -. También están mis compañeros de Telefónica, así que no dudéis en ir a verlos unos minutos. Fue una tarde agradable, en la que también estuve un rato con los amigos de Autentia para hacer una pequeña entrevista como en ediciones anteriores de la Codemotion.

Figura 1: Ya puedes ver "Blues" de Codemotion 2015 en Youtube

Pero el plato principal en mi agenda era la charla que tenía a las 18:00 horas en el Track 1, que yo había titulado como Blues y donde debo decir que me lo pasé genial. Tenía ganas de dar esta charla, preparé con mimo las diapos, la música y las demos, y al final salí encantado. Me alegró la efusividad de los aplausos y vítores del final en el auditorio. Disfruté yo más que los asistentes, seguro.

A photo posted by Chema Alonso (@chemaalonso) on


Como sabéis era el final de la trilogía que ya había avanzado el año anterior y quería, como en las ediciones anteriores hacer algo distinto. No es que descubra la rueda en estas charlas de Codemotion, pero la primera de ellas me llegó en un momento muy singular de mi vida y fue muy importante en mi vida personal, así que he intentado estos años que estas conferencias que he dado siempre fueran distintas.

Figura 3: Dando la charla de Blues en la Codemotion 2015

La última de ellas, este Blues, termina de contar la historia del Hacker y la la Developer que creé para en la Codemotion 2013 y que ya el año pasado avancé que se acabaría. En todas estas charlas se mezcla a partes iguales y partes distintas, detalles que son verdad, historias que son ficticias, mensajes que son retorcidos y ocultos en pistas que nadie debe ver, y en gestos estudiados en la puesta en escena para que todo en sí sea un collage que enseñe algo, entretenga mucho y comunique lo máximo, al tiempo que sirva de mensaje enviado en una botella que llegará cuando llegue a donde tenga que llegar. Y todo eso en una charla.


Figura 4: Codemotion 2015 - Blues

Por si quieres ver toda la historia, te dejo todas las charlas en orden inverso a como debes verlas si no has visto ninguna. Si ya has visto las anteriores, ve directamente a ver Blues. Esta será, por ahora, la última charla en Codemotion como ya anticipé. 


Figura 5: Codemotion 2014 - Love Always Takes Care & Humillity

Aprovecharé este mes de Diciembre para irme unas largas vacaciones, pero estaré de vuelta dando charlas y conferencias el año que viene. Adoro mi trabajo, me gusta lo que hago, y seguiré con ello. No os preocupéis un ápice, que solo será un homenaje que me voy a dar por que me lo merezco.

 
Figura 6: Codemotion 2013 - Los Amantes del Círculo Polar

Y esto es todo por hoy. Nos vemos en un rato en CyberCamp 2015, que además creo que lo puedes ver en Streaming

Saludos Malignos!

viernes, noviembre 27, 2015

Alemania pide a Gmail que se declare como Servicio de Telecomunicaciones. ¿Regulación para todos?

Quede en primer lugar claro que yo actualmente trabajo en una empresa de telecomunicaciones, así que si alguien quiere anular el contenido de este artículo por eso mismo, que deje de leer aquí mismo. Trabajo en una empresa que está declarada como empresa de telecomunicaciones, y además también en Alemania, donde tenemos una operación grande dentro del grupo. Sin embargo, todo lo que pone en este artículo es opinión absoluta y completamente personal y al margen de cualquier posible interpretación de comentario o postura oficial. Esto lo único que quiere decir es que mi empresa podrá opinar igual o diferente ya que esto lo opino yo en mi blog personal para mis lectores.

Figura 1: Alemania pide a Gmail que se declare como Servicio de Telecomunicaciones

La historia lleva ya años en los tribunales, ya que desde 2012 se demandó a Google para que registrase a su servicio Gmail de correo electrónico y añadidos, como servicio de Telecomunicaciones, algo que Google contestó alegando que ellos no transmitían señales, que no eran responsables de la red. Ahora la justicia alemana ha dicho que:
“Although Google for signal transmission not very own telecommunications networks, but the open Internet use is, the signal transmission nevertheless mostly attributable to their e-mail services in a judgmental-practical strategy.”
O lo que es lo mismo, que aunque no posean las redes, al desarrollarlo sobre las redes abiertas de Internet, en la práctica, la señal que se transmita por las redes en esos casos es mayormente atribuible a sus servicios de correo electrónico.

La atribución de esa señal de Internet a Gmail para convertirlo en un servicio de telecomunicaciones tiene una razón de ser práctica y entendible por muchos. Los servicios de telecomunicaciones están obligados a cumplir un reglamento nacional y europeo supercomplejo en cuanto a reglas de competencia, supervisión y control por parte de los países. Cuando sobre esas redes se monta un servicio de comunicaciones que hace exactamente lo mismo que el original - por ejemplo envío de señal de voz -, pero lo hace digitalizado y cifrado, se ha convertido en un servicio de comunicaciones sin tener que cumplir las obligaciones de los servicios de telecomunicaciones tradicionales.

Así, si la justicia de un país con un gobierno soberano elegido por los ciudadanos de ese país considera que debe aplicar una determinada acción amparada en la ley que ellos han votado y dictado para la regulación de los servicios de telecomunicaciones, esta no podrá ser de aplicación sobre la empresa que no está registrada como servicio de telecomunicaciones y la empresa que sí que está registrada como empresa de telecomunicaciones no podrá aplicarlo por imposibilidad técnica al estar cifrado todo el tráfico.

Por supuesto, a nadie se le escapa que si al final Europa empuja a Gmail a este sitio, los siguientes deberían ser Office 365, WhatsApp, Facebook, Telegram, Skype y cualquier otro servicio que dote a sus tecnologías de un canal de comunicaciones sobre Internet. Si nos ponemos estrictos, esto podría acabar hasta con los chats en los juegos, pero creo que la intención no es esa, sino de meter en la regulación a los servicios de comunicación masivos en la sociedad europea, que aún así sería una gran cantidad.

Esta sentencia del tribunal viene en un momento delicado en la sensibilidad europea, donde la gente está dispuesta a sacrificar un poco del derecho a la privacidad por el derecho a la vida, el derecho a la infancia u otros. A, como suelo decir yo, buscar el equilibrio en la defensa de todos los derechos fundamentales que se quieren tener y que a veces se pisan en las fronteras.

Por otro lado, el gran debate es el de la regulación de Internet o no. Dejar un Internet poco regulado puede favorecer la innovación por medio de la canivalización de un servicio en pro de otro más eficiente, más barato o mejor implementado. Pero, al mismo tiempo, al no existir una regulación mundial de nuestras sociedades esto puede ser catastrófico para los países.

El mundo capitalista utiliza a las empresas para la creación de riqueza en sus países. Para que las gentes de los países en que hay empresas puedan disfrutar de una vida digna y saludable. Por ello las empresas generan riqueza y pagan impuestos a los países, al igual que los trabajadores, para que haya servicios que favorezcan el bienestar de la sociedad. Así debería de ser en un mundo que funcione bien.

¿Quién debe ser el garante de nuestros derechos en sociedad?

Cuando una empresa de otro país genera un servicio en un país en el que no genera riquezas, haciéndolo eficiente a base de no pagar impuestos en esa sociedad, de no estar sujeto a una regulación de garantías del servicio en el país o de abaratarlo en base a quitar derechos a los trabajadores de ese servicio, entonces debemos plantearnos si es bueno o no para nosotros como sociedad. 

Esto es solo una opinión personal que he defendido en el caso Uber. Un taxista trabaja un montón de horas como autónomo para pagar sus impuestos en este país, poder contar con sanidad pública, jubilación e incluso indemnización en caso de baja por enfermedad. Sobre eso, tienen que cumplir una regulación estricta en cuanto a calidad del servicio, control de la administración pública y pagan impuestos por su trabajo. Este difícil equilibrio permite que un taxista pueda llegar a tener una vida digna con derechos y obligaciones para con su sociedad.

Figura 3: 6 horas en Urgencias en USA por un dolor de Estomago: 12.000 USD
O lo que es lo mismo, el coste de las matrículas de un GRADO Universitario en España

Cuando llega una empresa como Uber que no paga impuestos en este país, que no paga por ninguno de los taxistas ningún seguro, impuesto o derecho, pueda abaratar sus costes. Así, su servicio puede ser mucho más barato, puede ahorrar en Seguros Sociales, puede ahorra en impuestos, puede ahorrar en bajas - si el conductor que usa Uber se pone enfermo es problema del conductor, no de Uber -, etc...

¿Quién gana con esto? A priori se puede ver que Uber gana, y algunos podrían pensar que el usuario del taxi que consigue un ahorro. Y es verdad, el usuario del coche de Uber consigue un ahorro a priori, pero si es un ciudadano de la sociedad, a largo plazo perderá porque si los ahorros vienen de los pagos a impuestos y cotizaciones a la seguridad social que hace la empresa, entonces a la larga tendrá menos servicios en su sociedad o que pagar más impuestos. En conclusión, solo gana Uber.

Figura 4: Coste anual en una universidad de Ohio y en la número 18 de New York

Sí, sé que para muchos esta visión de nuestra sociedad será discutible. Es solo mi opinión. Es la opinión de alguien que estudio gracias a los servicios públicos de este país y que está agradecido eternamente a la Universidad Española por haberme dado la oportunidad de estudiar sin tener que pagar grandes cantidades de dinero. 

Yo, como ciudadano tengo mi propia visión de la sociedad en la que quiero vivir y creo que debería ser una que garantice las condiciones mínimas de calidad de vida de todos los miembros de la sociedad. También estoy de acuerdo en premiar el esfuerzo y trabajo de sus miembros con sistemas de meritocracia, y que se debe fomentar la creación de innovación y riqueza de emprendimiento de los países.

¿Que Gmail sea marcado como un servicio de telecomunicaciones y le vayan a regular más? No creo que sea el fin del mundo. Hay muchas empresas que están marcadas como servicio de telecomunicaciones en Europa, la gran mayoría de ellas empresas europeas y la opinión pública no se ha rasgado las vestiduras por las normas que los países imponen a este sector. El que un servicio de telecomunicaciones vaya sobre VoIP, HTTP-s sobre 4G debía ser indiferente para la regulación y no olvidemos que Google piensa en hacer pasar todo el tráfico HTTP desde directamente el navegador con SPDY.

Saludos Malignos!

jueves, noviembre 26, 2015

La novela "Cluster" de 0xWord Pocket y el Black Friday

Ayer por la tarde se publicó el nuevo libro de la Editorial 0xWord, pero bajo una nueva línea llamada 0xWord Pocket. Ya teníamos en la editorial algunos títulos que están centrados más en la lectura y el entretenimiento que en la parte técnica, como es el caso de los libros de Wardog y el Mundo o el de Microhistorias: anécdotas es historias del hacking & informática, además de contar con el libro de Hacker Épico, que además de contar cosas técnicas, es principalmente una gran historia de lectura que hemos podido incluso trasladar a un cómic. El nuevo libro se llama Cluster y es una novela. Una novela, pero con una carga tecnológica alta, y hemos querido crear la nueva línea 0xWord Pocket para diferenciar bien estos libros de lectura, de los textos que sean principalmente técnicos.

Figura 1: Cluster, 0xWord Pocket y el Black Friday 2015

Cluster es una novela en la que se cuenta una historia de acción con una mezcla de muchos elementos de este mundo nuestro. Une un suceso traumático como el suicidio de un joven que sufre cyberbullying y grooming, con el proceso de investigación de ataques SCADA en el que se busca a un grupo de cibercriminales. Será la Brigada de Investigación Tecnológica (BIT) de la Policía la encargada de llevar a buen puerto la resolución de los casos.

En la trama, que no os quiero desvelar mucho, se explican casos como Stuxnet, el ataque real a Cofrentes por parte de Greenpeace y el mundo de hacktivistmo, así como las acciones de un hacker que ayuda en la resolución de ciertas partes de la historia con el que al final colabora la Policía. Por supuesto, hemos querido que el libro, sin ser un manual técnico, fuera realista con las partes tecnológicas, y no hubiera "magia de Hollywood" de esa que te saca de la película cuando ves cosas como la de la Operación Swordfish.

Figura 2: Cluster, una novela para amantes del hacking y el thriller

El autor es Felipe Colorado, que es Ingeniero Advance Plus de la Universidad Politécnica de Madrid y profesor de matemáticas y tecnología. Ganó el premio Desnivel de Literatura 2009 con su obra “Om, la montaña roja” que es una novela de alpinismo-ficción ambientada en Marte en el siglo XXII y fue finalista del prestigioso Premio Ignotus 2013 en la categoría mejor novela, por “Corazón de alacrán”. En su tercera obra "Baldur. El ocaso del III Reich" abandonó la temática futurista para sumergirse en una tensa trama histórica y ahora ha escrito "Cluster" que entra de lleno en el género tecno-thriller policiaco, abordando los peligros de Internet desde el acoso a menores hasta los ataques a infraestructuras críticas.

Black Friday en 0xWord

El libro lo hemos editado en un formato un poco más pequeño que los manuales técnicos para poder ponerle un coste más bajo al libro, así como para que sea más fácil llevar en los desplazamientos en metro, autobús o tren al trabajo. Y, lo hemos lanzado hoy para que mañana podáis aprovecharos de la oferta del Black Friday que vamos a poner en 0xWord.

Figura 3: Código con 10% de descuento para el Black Friday 2015

Desde las 00:00 horas (hora de España) de este viernes, es decir, desde esta misma noche, hasta las 00:00 horas del sábado, podéis utilizar el cupón BLACKFRIDAY2015 para obtener un 10% de descuento en todas las compras que hagáis en 0xWord, así que si quieres hacer un regalo de Papá Noel o aprovisionarte de material, puede ser el momento que estabas esperando.

Saludos Malignos!

miércoles, noviembre 25, 2015

¿Has encontrado Oro o Plata? El precio de los 0days en forma de Tabla Periódica

La empresa Zerodium saltó a la fama en Internet por haber ofrecido un precio de 1.000.000 USD por un 0day en Apple iOS que permitiría tomar control remotamente de un terminal iOS. La idea de ese exploit es la posible construcción de un JailbreakMe 4.0 que, como ya hiciera el investigador José Selvi con JailbreakMe 3.0, agencias de inteligencia podrían convertir en un JailOwnMe 4.0 tal y como se explica en el libro de Hacking iOS: iPhone & iPad.

Figura 1: ¿Qué 0day es Oro y cuál es plata?

Por supuesto, ya anunciaron que habían pagado ese Millón de Dólares por un exploit que cumplía las características pero que NO lo iban a publicar. Es parte de su negocio, ya que ellos luego venden este conocimiento a empresas que quieren estar más seguras que el resto. O esa es la idea.

Figura 2: El cartel con la recompensa de 1.000.000 USD inicial

Ahora, ya conocido su negocio por todos, han puesto en Internet una tabla periódica con los precios que van a pagar por exploits en los principales productos. La estrella sigue siendo Apple iOS, con pagos de hasta 500.000 USD por 0days en su plataforma, seguido por Android y Windows Phone que llegan hasta las 100.000 USD. Luego baja ya a los plugins y navegadores con Adobe PDF, Flash Player y Google Chrome llegando a los 80.000 USD. La lista es larga y deja, por ejemplo, los exploits de Windows, Mac OS X y Linux en un precio de 30.000 USD. Puedes buscar tu software favorito en ella.

Figura 3: Lista de precios por exploits y tecnologías

Una cosa interesante es que no se pagan todos los exploits y buscan exploits detallados en cada cuadrito. Por ejemplo, los RCE (Remote Code Executation) son los que se buscan en los plugins y navegadores. En los sistemas operativos de escritorio bastan con un LPE (Local Privilege Escalation) siempre que tenga un SBX (SandBox Escape) asociado, ya que con pedir la ayuda al usuario para que haga un clic en un enlace sería suficiente para conseguir el RCE final.

Figura 4: Zerodium Preguntas Frecuentes

Por supuesto en Apple iOS se busca el RJB (Remote Jailbreak) para poder tomar control total del dispositivo. Es decir, no solo ejecutar código, sino hacer la elevación de privilegios, cargarse el CodeSigning y controlar totalmente el dispositivo.Si queréis más información de qué se paga y qué no se paga, o como reportar un exploit de 0day, lo mejor es que os leáis las FAQs.

Saludos Mglignos!

Entrada destacada

El creador de WannaCry es fan de Messi, no es muy ambicioso y usa Microsoft Word habitualmente en coreano

Esta semana, nuestros compañeros del laboratorio de ElevenPaths terminaban por publicar su análisis de WannaCry desde el punto de vista d...

Entradas populares