lunes, febrero 21, 2011

La ciberguerra del rootkit, la caricatura y los agentes secretos de Facebook

Pensar que los ejércitos y los servicios de inteligencia están dejando de lado el uso de las tecnologías de la información y el uso de técnicas hacker para sus labores “del día a día”, es como pensar que una banda terrorista no va a hacer uso de un sistema informático vulnerable para sus objetivos. Es un campo de batalla que existe y con muchas ventajas si vas por delante.

No es de extrañar lo que ha puesto de manifiesto el grupo anonym0us liberando los mails de HBGary que, de nuevo en Ars Technica, publican en un genial artículo sobre cómo el gobierno utiliza Backdoors.

Task B

Los mails obtenidos en el “pwned magistral” de anonym0us han permitido hacer un recorrido de los sistemas para controlar, espiar y atacar al enemigo que HBGary estaba ofertando al gobierno. Todo comenzó con un proyecto llamado Task B en el que se buscaba crear un troyano que permitiera controlar un equipo utilizando los puertos de un equipo (ratón, USB, etcétera) en entornos donde se pudiera tener acceso físico al equipo durante unos minutos.

La idea tras esto, era instalar un rootkit, del que hay hasta una hoja de características que se estaba ofreciendo a los cuerpos de seguridad y que también ha sido publicada.


Figura 1: Hoja de características del rootkit que se comercializaba


Proyecto 12 monkeys

Por supuesto, la cosa evolucionó a lo que todos desde hace tiempo sabemos: La compra de inteligencia con fines militares, o lo que es lo mismo la compra de exploits 0-day que pudieran ser utilizados para explotar las máquinas del enemigo e instalar troyanos, así, HBGary estaba vendiendo kits de exploits, al estilo de Black Hole o Eleonore II, pero para fines militares con los siguientes exploits.

VMware ESX and ESXi
Win2K3 Terminal Services
Win2K3 MSRPC
Solaris 10 RPC
Adobe Flash
Sun Java
Win2k Professional & Server
XRK Rootkit and Keylogger
Rootkit 2009


Recuerdo que hace unos años se habló durante un tiempo de un exploit de VMware para ejecutar código remotamente que luego desapareció...¿será este el destino que tuvo ese 0day?

Caricaturas

Otro de los servicios que estaba ofreciendo consistía en hacer guerra de información viral por medio de caricaturistas puestos a sueldo del gobierno que, al estilo de las guerras de los equipos de marketing, estaban realizando dibujos para que fueran distribuidos por Internet transmitiendo una idea de forma “graciosa” para conseguir que así se difundiera mucho más rápidamente. Es decir, sería como poner el equipo de El Jueves a sueldo del gobierno. La sola idea hace que me tiemblen las canillas.


Figura 2: Caricaturas contra IRAN

Agentes espías en Facebook

Una de las características que más me ha llamado la atención es el servicio de generación de perfiles en Facebook para controlar personas y grupos. Me imagino a un equipo de trabajo controlando a 100 “agentes secretos de Facebook” y decidiendo si empujar o alentar revoluciones en un país mediante la convocación de manifestaciones o si, simplemente, robar información a usuarios.

Está claro que la guerra entre los países ha cambiado y las operaciones de inteligencia y militares están haciendo uso de este campo de batalla. ¿Y tú, conoces a todos tus amigos de Facebook? ¿Aún crees que esto es ciencia ficción?

Saludos Malignos!

6 comentarios:

  1. Pero qué ostias ¿estamos tan acojonados del tracking que nadie comenta hoy nada en este post?

    ResponderEliminar
  2. Alguien sabe en quien se puede confiar? ..

    ResponderEliminar
  3. Creo que te equivocas cuando dices Eleonore II, la última versión que he visto yo es la 1.6.2, y hace poco fue anunciada la 1.7. :-P

    El mundo del malware siempre va un paso por delante, y no siempre detrás están los considerados "malos"... habría que ver quien controla más de una botnet... o más que verlo, demostrarlo.

    ResponderEliminar
  4. Me encanta eso de "Las pruebas de no detección se realizaron instalando primero el rootkit que el antivirus". ¡Eso es trampa :D!
    Me llama también la atención no ver al Nod32 en la lista... ¿lo detectaría y lo quitaron por temas de marketing? =)

    ResponderEliminar
  5. Bah!, es lo de siempre, cualquier catxarro conectado es inseguro. Nosotros funcionamos con todo lo que ellos nos ofrecen y aceptamos. Despues jugamos con la ilusión de la seguridad. Todo se fabrica en serie, clonado. Vivimos en un mundo replicado donde todo es lo mismo, los protocolos reconocen y conectan, la información es siempre la misma y dá vueltas sin parar por los mismos lugares, la red es tonta, no hace falta mucho para pillar su funcionamiento. La peña no quiere ver lo que pasa, no quiere asumirlo, pero está ahí, delante de nuestras narices, diafano y radiante. La inteligencia duerme y los usurpadores pringan el mundo con su ignorancia. Atentamente. Puto spam de bot en Wordpress.....

    ResponderEliminar
  6. como le digo a los usuarios de la red de mi trabajo , para mi los unos y para vosotros los ceros jaja

    o.0

    011011000110111101101100

    ResponderEliminar