Canjea tus Tempos de MyPublicInbox por libros de 0xWord @MyPublicInbox1 @0xWord #MyPublicInbox

Durante este verano hemos estado trabajando mucho en 0xWord y en MyPublicInbox para tener muchas novedades. Hoy os cuento otra que hemos estado trabajando a sugerencia de algunos Perfiles Públicos de MyPublicInbox. La posibilidad de poder canjear los Tempos que hayas conseguido en MyPublicInbox por Códigos Descuento en la tienda de 0xWord. Y desde hoy lunes ya está disponible.

Figura 1: Canjea tus Tempos de MyPublicInbox por libros de 0xWord

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 2: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 3: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 4: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. Eso sí, vamos a intentar que los códigos descuentos los puedas utilizar también con nuestros distribuidores en latinoamérica, así que indícanos si es para utilizar en un distribuidor o en la tienda online.

Figura 5: Los códigos descuento los podrás utilizar como los cupones oferta

Después te enviaremos a tu buzón de MyPublicInbox un mensaje con las instrucciones de uso, y el código que puedes usar para comprar. Por cada 100 Tempos en MyPublicInbox tendrás 1 € de código descuento en la tienda de 0xWord y podrás usar tantos Tempos como quieras para generar el Código Descuento.  Después, podrás utilizar ese Código Descuento en tu próxima compra en la tienda de 0xWord.

Figura 6: Conseguir 100 Tempos gratis para usar en MyPublicInbox

Recuerda que aún está activa la campaña de ESET que te permite conseguir 100 Tempos gratis que puedes utilizar para contactar con cualquiera de los perfiles públicos que hay en MyPublicInbox.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo activar el Modo Promiscuo de red en Raspberry Pi

Un factor importante a tener en cuenta a la hora de utilizar una Raspberry Pi en proyectos de auditorias en redes, ya sea WiFi o Ehternet , es comprobar si la tarjeta de red - en nuestro ejemplo la WiFi que trae Raspberry Pi - soporta el funcionamiento en “Modo Monitor”, conocido también como “Modo Escucha” o “Modo Promiscuo”.

Figura 1: Cómo activar el Modo Promiscuo de red en Raspberry Pi

Siempre ha estado el problema de que para utilizar un Kit de Raspberry Pi o de Raspberry Pi Zero W, las cuales tienen interfaces inalámbricas, no era posible activar el modo monitor y realizar ataques que necesitaran de la inyección de paquetes. Esta característica, por lo tanto, limita mucho su potencia como dropboxes o como puntos de ataque en auditorías de seguridad. Y nosotros, queremos sacar el máximo siempre en nuestros proyectos de Hacking & Making.

Figura 2: Libro de Raspberry Pi para hackers & Makers
PoCs & Hacks Just for Fun en 0xWord escrito por
Pablo Abel Criado, Hector Alonso y Amador Aparicio

En la siguiente imagen se muestra cómo obtener y comprobar si el chipset de nuestra Raspberry Pi soporta el modo monitor, necesario en cualquier proyecto de auditoría de seguridad en redes WiFi. El comando “sudo airmon-ng” muestra las interfaces de red WiFi de la Raspberry Pi, su alias, wlan0 en este caso, el driver y el chipset de la interfaz de red WiFi, que para este ejemplo es “Broadcom 43430”.

Figura 3: Pruebas para comprobar si la RBPi soporta por defecto el modo monitor

Ejecutando el comando “sudo airmon-ng start wlan0” puede comprobarse a través del mensaje “Operation not supported (-95)” cómo la interfaz de red WiFi wlan0 no soporta el modo monitor en nuestra Raspberry Pi 3 B.

Modificando los drivers de la Raspberry Pi

Existen proyectos que permiten modificar los drivers que trae la Raspberry Pi de serie por otros mejorados. Uno de ellos es el proyecto Re4son-Pi-Kernel, que cuenta con la ventaja de facilitar mucho el proceso de instalación de los nuevos drivers.

Figura 4: Página del proyecto Re4son-Pi-Kernel

Permite la instalación de un kernel adaptado para proyectos de seguridad, que también está presente dentro del proyecto Kali-Pi orientado al entorno de pruebas de penetración Kali sobre Raspberry Pi. La instalación se llevará a cabo sobre una Raspberry Pi 3B con sistema operativo Raspbian. Es recomendable tener el sistema operativo actualizado.

Figura 5: Actualización de los paquetes del sistema operativo

Como dice la página del proyecto, debemos ejecutar los siguientes comandos para agregar un repositorio nuevo a nuestro source.list e instalar los nuevos paquetes. Se recomienda hacerlo directamente desde el usuario “root”, en lugar de usar el comando “sudo” antes de la ejecución de los comandos.

echo "deb http://http.re4son-kernel.com/re4son/ kali-pi main" 

> /etc/apt/sources.list.d/re4son.list

Figura 6: Actualización del nuevo repositorio a raspian para actualizar el kernel

El siguiente paso es descargar el fichero con la clave de confianza de los paquetes actualizar la lista de claves APT. 

wget -O - https://re4son-kernel.com/keys/http/archive-key.asc | apt-key add -

Figura 7: Inserción de la nueva clave de confianza y actualización del listado de claves válidas en la autenticación de paquetes

Posteriormente se realiza una actualización del listado de repositorios para que en una instalación posterior de paquetes se tenga en cuenta el nuevo repositorio para la descarga de los nuevos drivers necesarios para la actualización del kernel con un  "apt update".  

Figura 8: Actualización del listado de repositorios

Por último se procederá a la descarga e instalación de los drivers necesarios para la actualización del kernel a través del siguiente comando:

apt install -y kalipi-kernel kalipi-bootloader kalipi-re4son-firmware 

kalipi-kernel-headers libraspberrypi0 libraspberrypi-dev 

libraspberrypi-doc libraspberrypi-bin

Figura 9: Instalación de los nuevos drivers

Si todo ha ido bien, tras un reinicio deberíamos tener el R4ason-Pi_Kernel instalado. Tardará un rato, pero finalmente tendremos instalado el nuevo kernel.

Interfaz nativa WiFi en “modo Monitor”

Tras la finalización de la instalación del nuevo kernel y reinicio de la Raspberry Pi, se procede a realizar las pruebas necesarias para comprobar que realmente se han instalado los nuevos drivers que permite a la interfaz de red WiFi funcionar en modo monitor. Si esto es así, luego ya podríamos construir todos los ataques de red IPv4&IPv6 que quisiéramos.

Figura 10: Ataques en redes de datos IPv4 & IPv6 (3ª Edición)
de Juan Luis Rambla, Chema Alonso y Pablo González

Con el comando “airmon-ng” colocaremos la interfaz wlan0 en modo monitor. Antes hay que asegurarse de eliminar cualquier proceso que hubiera quedado haciendo uso de la interfaz de red anteriormente. Para ello ejecutamos el comando “sudo airmon-ng check kill”

Figura 11: Borrado de procesos previos que pudieran están bloqueando la interfaz de red

Aparecerá un pequeño error diciendo que no se pudo colocar wlan0 en modo monitor, pero sí se ha creado la interfaz virtual wlan0mon que es la que tendrá realmente el modo monitor activo.

Figura 12: Inicio de la interfaz WiFi wlan0 en modo monitor

Podemos comprobar con el comando de configuración iwconfig que la nueva interfaz wlan0mon está funcionando en modo monitor.

Figura 13: Modo monitor para la interfaz wlan0mon

Y ahora ya podemos pasar a probar en algún caso completo el uso del Modo Promiscuo en nuestro Raspberry Pi.

Escaneo de los puntos de acceso cercanos

Como pequeña prueba de concepto, se realizará un escaneo a través de la interfaz de red wlan0mon para conocer qué puntos de acceso se encuentran en nuestra zona de cobertura y características de los mismos: BSSID, dirección MAC, canal de emisión, potencia de la señal, protocolo de cifrado, etcétera.

Figura 14: Características WiFi de los puntos de acceso (AP) dentro del espacio de cobertura

Para ello bata ejecutar el comando “sudo airodump-ng wlan0mon”, tal y como se puede ver en la Figura 14. Y ahora toca probar a inyectar tramas de red desde nuestra Raspberry Pi.

Prueba de inyección de tramas desde nuestra Raspberry Pi

Ahora es posible comprobar fácilmente que la inyección también está activada ejecutando el comando “sudo aireplay-ng --test wlan0mon”.

Figura 15: Prueba para comprobar que la interfaz wlan0 es capaz de realizar inyección de tramas

Es importante mencionar es que la inyección de tramas a un punto de acceso (AP) es extremadamente lenta debido a las características del driver, así que algunos ataques como la re-inyección ARP podrían no ser viables utilizando para ello la interfaz WiFi de la Raspberry Pi. 

Saludos,  

Autor: Amador Aparicio (@amadapa), escritor de los libros “Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun!” y "Hacking Web Technologies 2ª Edición" , CSE (Chief Security Envoy) de ElevenPaths. 

Figura 16: Contactar con Amador Aparicio en MyPublicInbox

Las criptodivisas y los delitos de financiación del terrorismo y el blanqueo de capitales

La semana pasada funcionarios de diferentes agencias gubernamentales estadounidenses (HSI, FBI y el RSI) incautaron los fondos de varios cientos de direcciones de criptomonedas como parte de una amplia campaña de captación de fondos destinada a la financiación del terrorismo. Los documentos judiciales establecieron redes de financiación operadas por grupos vinculados a al-Qaeda e ISIS, así como a las Brigadas al-Qassam.

Figura 1: Las criptodivisas y los delitos de financiación del terrorismo y el blanqueo de capitales

Dichas agencias han identificado casi trescientas direcciones de bitcoin como parte de una gran investigación contra tres redes de financiación del terrorismo. Representando la incautación de criptomonedas más grande jamás realizada por el gobierno en el contexto del terrorismo. Estas redes comprendían varias fuentes de financiación para la recaudación de fondos, que incluían el uso de campañas de captación de donaciones centradas en bitcoins y las ventas ilícitas de equipos de protección personal durante la pandemia de la COVID-19.

En el contexto de al-Qaeda, los fiscales alegaron en documentos judiciales que los grupos sirios Al-Nusrah Front y Hay'at Tahrir al-Sham usaron Telegram y las redes sociales como medio para la recaudación de fondos en bitcoin a partir de 2019.

Figura 2: Hamas acepta BitCoin desde 2019

En una acción judicial separada, los fiscales persiguieron a la red operada por al-Qassam, que involucró el uso de dos sitios web, así como cinco cuentas en una "institución financiera" anónima. Además, se identificaron "más de 180 cuentas de moneda virtual".Describiéndose un sistema de tres etapas que involucraba el uso de cuentas en doce casas de cambio, así como direcciones personales y páginas web. Por otro lado, la campaña relacionada con ISIS se centró en la venta fraudulenta de PPE, específicamente máscaras N95 supuestamente aprobadas por la FDA.

Figura 3: BitCoin "La tecnología BlockChain y su invetigación"
de Yaiza Rubio y Félix Brexo en la editorial 0xWord

Estos casos muestran que los intermediarios financieros y la infraestructura que los grupos terroristas han utilizado tradicionalmente para mover dinero, como las empresas de envío de dinero sin licencia y las redes hawala, han comenzado a migrar hacia las criptomonedas, lo que ha hecho que todos los investigadores y analistas de ciberseguridad hayan tenido que aprender cómo funcionan estas tecnologías en detalle.

Algunos ya lo veníamos advirtiendo desde hace años, recuerdo la ponencia que tuve que el honor de impartir en el 1er Congreso internacional sobre ciudad, seguridad y terrorismo global que organiza el International SecurityObservatory, donde ya definía a las criptos como el Hawala 2.0 (además, así fue el título de la ponencia) y también recuerdo el libro que tuve el honor de coescribir en el año 16, con mi buen amigo el Doctor en Economía Basilio Ramirez, que ya titulábamos BITCOIN ¿AMENAZA U OPORTUNIDAD? (Toda una declaración de intenciones, ¿verdad?) 

Figura 4: BitCoin ¿Amenaza u oportunidad?

Tanto era así que la directiva 2018/843 del parlamento europeo y del consejo de 30 de mayo de 2018, trataba por fin, las criptomonedas como amenaza y como herramienta utilizada en algunos procesos de lavado de dinero Fiat. Dicha directiva está en un proceso muy avanzado de transposición a nuestra ley y su entrada en vigor en España será, probablemente, antes de final de este año.

Figura 5: La preocupación en la directiva europea por las monedas virtuales

Pero... ¿cómo se blanquea con las criptos? Déjenme les explique antes que es el blanqueo de capitales. En España parece consolidada terminológicamente una serie de conceptos respecto del blanqueo de capitales:

• Se trata de un proceso.

• Este proceso pretende convertir el dinero sucio, es decir, el procedente de negocios que constituyen un delito, o que no se pueden justificar ante las autoridades competentes, en dinero que se pueda justificar fiscalmente.

• Se marca la tendencia de unificar el concepto del dinero no declarado a la Hacienda Pública con el obtenido ilegalmente. Es decir, que no declarar a la Hacienda Pública es un delito.

• El proceso en sí mismo es un delito.

• En el blanqueo de capitales ha de tenerse en cuenta tanto el dinero como los bienes obtenidos ilegalmente.

Podríamos decir en una primera aproximación, sin pretensiones jurídicas, que el blanqueo de capitales es el proceso a través del cual se trata de dar apariencia de legalidad o legitimidad a unos productos (dinero, divisas, fondos, activos, capitales, bienes, etcétera). Éstos habrían sido generados como consecuencia de una actividad ilegal o injustificada. Siendo la clave del proceso de blanqueo el eliminar el rastro entre dichos productos y la actividad ilegal. Para ello se realizarían múltiples actos o negocios jurídicos cuyo objetivo es complicar o borrar cualquier relación respecto de su origen verdadero. El proceso de blanqueo se compone de varias fases:

1.- Colocación: Momento en el que los fondos son introducidos en el sistema económico o financiero.

2.- Transformación: Conjunto de operaciones dirigidas a encubrir, ocultar o hacer desaparecer el nexo entre el activo y su fuente.

3.- Integración: Retorno del activo al patrimonio de quien lo generó con toda la apariencia de legalidad.

Los métodos de blanqueo son complejos y cambiantes. Factores como la deliberada complejidad de los procesos, la modificación frecuente de la naturaleza de los activos, o el cambio en su localización geográfica, suelen verse con frecuencia asociados a esquemas de blanqueo. La lucha contra el blanqueo de capitales se basa en dos mecanismos mutuamente complementarios:

1.- El sistema represivo o penal: Que configura al blanqueo de capitales como un delito tipificado en el Código Penal. Correspondiendo a los juzgados y tribunales su represión, con el auxilio de los cuerpos policiales.

2.- El sistema preventivo o administrativo: Éste intenta dificultar o impedir el acceso al sistema financiero. También al de otros sectores de actividad, de bienes o capitales de origen delictivo, mediante la imposición de una serie de obligaciones a determinadas personas o entidades que operan en dichos sectores. De manera que el incumplimiento de estas obligaciones constituye una infracción administrativa, castigada con sanciones de multa de elevado importe.

Vamos ahora con el ejemplo de blanqueo. Tan sencillo como ir a una gran superficie de alimentación francesa, de imagen y sonido o de video juegos y solicitar tarjetas de prepago canjeables por su equivalente en criptomoneda y, por otro lado, necesitaremos tener creada una wallet o cartera de Bitcoins (1era fase, colocación), que será la que utilicemos para llevar a cabo la conversión a criptomoneda.

Acto seguido procederemos a través de mezcladoras de bitcoin su ofuscación (eliminar toda la trazabilidad posible) (2nda fase, Transformación) para que posteriormente través de un Exchange o particular cambiar a dinero Fiat, cuyo destinatario final sea una sociedad o testaferro en otra jurisdicción mas laxa con este tipo de operaciones (3era fase, Integración)

El uso de las criptodivisas, como herramienta vehicular en los procesos de ciber blanqueo de dinero, va en aumento. De hecho, es uno de los esquemas “de moda” entre los terroristas y la delincuencia organizada. No solo por su opacidad si no por el desconocimiento de jueces y fiscales a la hora de su instrucción y posterior juicio. En ocasiones la policía judicial realiza unas diligencias extraordinarias que no prosperan por la falta de información del juez de turno. 

Figura 6: La prevención en el blanqueo de capitales

La formación e información al respecto de estos esquemas emergentes es vital, no solo para su lucha, si no para su correcta comprensión y entendimiento. Las criptomonedas en su concepción primigenia son una alternativa a tener muy en cuenta como un medio de pago de elección más. Su mal uso, tan solo es responsabilidad de quien utiliza este sistema de pago como herramienta para delinquir.

Autor: Juan Carlos Galindo

Contactar con Juan Carlos Galindo

Meta-aprendizaje con GPT-3: Aprender a sumar leyendo o a escribir código fuente con servicios cognitivos de Texto Predictivo.

En el equipo de Ideas Locas nos encanta hacer proyectos y trabajar con tecnologías de Inteligencia Artificial. Dentro de este tan amplio campo, los servicios cognitivos de NLP (Natural Language Processing) están adquiriendo cada vez mayor importancia. Gracias a ellos podemos empezar a crear interfaces de usuario que humanizan la interacción persona-ordenador, con todas las ventajas que ello supone. 

Figura 1: Meta-aprendizaje con GPT-3: Aprender a sumar leyendo
o a escribir código fuente con servicios cognitivos de Texto Predictivo.

Dentro de este subconjunto de servicios que tratan de alcanzar la paridad humana, hoy os quiero hablar de la generación de texto, o los servicios de Texto Predictivo que ya se usaron en el pasado para construir novelas inventadas de Harry Potter, Drácula o Don Quijote de la Mancha como nos contó nuestro compañeros Fran Ramírez, y tenéis el artidulo de Chema Alonso sobre cómo los servicios de AI han comenzado a superar la paridad humana.

Figura 2: Creación de novelas con herramientas de Texto Predictivo

El problema del Texto Predictivo es aparentemente sencillo de entender. Se trata de crear un modelo entrenado que debe predecir el siguiente elemento del texto basándose en una secuencia previa de caracteres que llevarán a criterios puramente probabilísticos. Por tanto, dada una entrada como  “soy hacke” la salida del modelo debería de ser una “r”. A nivel humano esto parece obvio pero la creación y el entrenamiento de estos modelos de IA es realmente complejo, debido a que el lenguaje lo es, aunque no nos demos cuenta como hablantes. 

Figura 3: Modelo de texto predictivo entrenado con probabilidades

Para resolver este problema, el último modelo que ha visto la luz ha sido GPT-3  (con permiso de GShard  de Google que lleva escasos días público) y ha sido desarrollado por OpenAI, empresa de Elon Musk. Es el pistoletazo de salida de una nueva generación de modelos gigantescos  - para que os hagáis una pequeña idea, GPT-3 cuenta con 175.000 millones de parámetros - desarrollados y entrenados por grandes empresas tecnológicas para ser servidos a los usuarios a través de APIs. 

Figura 4: GPT-3 en GitHub

Estos modelos tienen muchas utilidades de todo tipo, y algunos ejemplos los tenéis en el libro de Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas de nuestros compañeros Fran Ramírez, Carmen Torrano, Sergio Hernández y José Torres. Son tan potentes que estas APIs son privadas y se debe rellenar un formulario detallando los usos que se le va a dar junto con los posibles riesgos, para luego esperar que sea aceptado, ya que podrían usarse para cosas que podrían considerarse negativas.

Figura 5: Libro de Machine Learning aplicado a Ciberseguridad

Puede resultar algo exagerado para un modelo que únicamente predice la siguiente letra, ¿verdad?. Lo que se ha observado con GPT-3, que ya se empezaba a intuir con su hermano pequeño GPT-2, es que es capaz de desarrollar un meta-aprendizaje, es decir, ha aprendido a aprender. Esto es resultado de haber sido entrenado con prácticamente la totalidad de los textos que hay en la red y es aquí es donde reside la potencia de este modelo.

Figura 6: Formulario para ser aceptado

Comúnmente, un modelo se desarrolla para resolver un problema específico. Sin embargo, GPT-3 ha cambiado radicalmente esta mentalidad, ya que ha sido entrenado para una tarea general y son los usuarios los que han ido encontrando distintos casos de uso en los que el modelo se desenvuelve a la perfección. Vamos a ver algunos ejemplos en diferentes ámbitos.

Generación de texto

La generación de texto es el problema fundamental para el cual el modelo ha sido entrenado, por tanto, su desempeño en esta tarea es espectacular. Es capaz de generar contenido escrito de forma que el lector ni se percate de que el texto ha sido generado por un modelo de IA. Pero mucho ojo con esto, porque puede ser utilizado para generar desinformación y ser usado en Fake News.

GPT-3 is going to change the way you work.

Introducing Quick Response by OthersideAI

Automatically write emails in your personal style by simply writing the key points you want to get across

The days of spending hours a day emailing are over!!!

Beta access link in bio! pic.twitter.com/HFjZOgJvR8

— OthersideAI (@OthersideAI) July 22, 2020

Operaciones matemáticas

El modelo es capaz de predecir que después de la secuencia “3 + 3 = “ el carácter más probable es el “6”. ¿Esto significa que sepa sumar? Realmente no, es únicamente cuestión de probabilidad, pero sí que puede dar respuesta a operaciones matemáticas de esta forma... ¿se podrían hacer cálculos matemáticos seguros?

Escribir código

GPT-3 es capaz de escribir código en distintos lenguajes de programación mediante una descripción en lenguaje natural, consiguiendo incluso el desarrollo de frontales web o de redes neuronales.

AI INCEPTION!

I just used GPT-3 to generate code for a machine learning model, just by describing the dataset and required output.

This is the start of no-code AI. pic.twitter.com/AWX5mZB6SK

— Matt Shumer (@mattshumer_) July 25, 2020

Do you want to learn how to convert Natural Language to SQL using GPT-3?

This walk-through video should help!

Thanks @sh_reya for the gpt3-sandbox :)

Video Link : https://t.co/sqY7SBS7xG#DataScience #MachineLearning #AI #ArtificialIntelligence #DeepLearning #gpt3 #OpenAI pic.twitter.com/JYG61fuFXN

— Bhavesh Bhatt (@_bhaveshbhatt) July 23, 2020

This is mind blowing.

With GPT-3, I built a layout generator where you just describe any layout you want, and it generates the JSX code for you.

W H A T pic.twitter.com/w8JkrZO4lk

— Sharif Shameem (@sharifshameem) July 13, 2020

Estos son únicamente unos ejemplos de lo que GPT-3 es capaz de lograr en los meses que lleva en producción, y puedes ver muchos más ejemplos de aplicación de GPT-3 en este enlace de GPT-3 examples. Nadie sabe aún cuáles son los límites de estos modelos y que nos depararán los próximos que salgan a la luz pero, ¿a que ya no resulta tan exagerado poner las APIs privadas?

Autor: Pablo Saucedo (@psaucedo)

ATTPwn en el Red Team Village de DefCon 28 Safemode & 8dot8 Las Vegas

Ya hemos hablado bastante de ATTPwn en este blog. Es el resultado del estudio y análisis que hemos ido haciendo en estos últimos meses de la matriz ATT&CK de MITRE. Una forma de ordenar el conocimiento de las amenazas, a través del uso de tácticas, técnicas y procedimientos. En el mes de agosto hemos estado participando en diferentes eventos gracias al trabajo realizado con ATTPwn, el cual ha dado como resultado la herramienta colaborativa que tenéis en el Github de ElevenPaths.

Figura 1: ATTPwn en el Red Team Village de DefCon 28 Safemode & 8dot8 Las Vegas

Como comentamos en BlackHat, ante algunas preguntas, seguimos actualizando y metiendo funcionalidades la herramienta. Es un esfuerzo importante, ya que la herramienta tiene un gran recorrido y muchas posibilidades a realizar. Es más, pensamos en una API, en un GameScore, en añadir mayor conocimiento y en facilitar la inclusión de la implementación de cualquier usuario dentro de la herramienta. No es un proyecto que nace y muere en breve, es un proyecto para seguir creciendo y sumando. Además, cualquier ayuda en forma de colaboración será bienvenida.

Figura 2: ATTPwn en GitHub

  
El sábado, 8 de agosto, nos tocaba participar en DefCon en un horario muy matutino. Eran las 6:20 de la madrugada hora España y Fran Ramírez y yo estábamos delante del ordenador para poder exponer la conferencia en el Red Team Village. En el horario de Las Vegas, la charla era a las 22.00, por lo que nos tocaba esperar hasta las 7.00 de la mañana, hora España. Sea como sea, encantados de poder estar en uno de los grandes eventos.

Figura 3: Puedes contactar con mi compañero Fran Ramírez en MyPublicInbox

Unos días antes estuvimos haciendo pequeños cambios en la herramienta. Por ejemplo, el fichero data.py sufrió algún cambio para evitar que implementaciones futuras de técnicas que estaban en un plan de una amenaza “crasheasen” la ejecución de la amenaza, precisamente por no tener la implementación indicada. 

Como digo es un proyecto vivo en el que seguimos añadiendo funcionalidades e implementaciones cuando podemos, por lo que en algunas ocasiones podemos definir el plan de una amenaza con las técnicas mapeadas del MITRE y no disponer de ningún tipo de implementación todavía.  Alguna idea como integrar Red Atomic en ATTPwn o dar la posibilidad de utilizar ciertas funcionalidades de Atomic Red en ATTPwn pueden ayudar a paliar esto que os comentaba y, por supuesto, enriquecería el proyecto con un marco de trabajo muy interesante, como es el proyecto Atomic Red.

Figura 4: Proyecto Atomic Red

Hace tiempo, ya comenté que hablaríamos algún día de este proyecto en profundidad, porque es algo muy interesante. Esos ficheros YAML y las posibilidades de integración que ofrecen son dignos de estudio. Hasta aquí os puedo leer.

Figura 5: Hacking avanzado en el Red Team con Empire

Eso sí, la importancia de crear inteligencia de amenazas mapeadas con la matriz de ATT&CK tiene su importancia, tanto para un Red Team como para un Blue Team. La idea final es que lances esto sobre un activo para verificar que tus controles, es decir, tu inversión en seguridad, funcionan correctamente, es decir, son eficientes y eficaces. 

Defcon 20 Safemode & 8dot8 Las Vegas

Ahora, os dejamos el vídeo de la charla del Red Team Village de DefCon en inglés, en el que podéis ver cómo se adapta el proyecto a la matriz de ATT&CK, la arquitectura de la herramienta, diferentes casos de uso y cómo se puede colaborar con el proyecto, ya que éste último punto es el más importante, desde mi punto de vista. 

Figura 6: ATTPwn en DefCON 28 Safemode Red Team Village

Pronto terminaremos de volver de vacaciones, unas vacaciones merecidas tras este extraño año que nos ha tocado vivir, pero del que seguro podemos sacar lecturas positivas. Al menos, tenemos que hacer ese ejercicio. Cuando parece que todo se acaba, podremos sacar algo positivo y saldremos con más fuerza.

Figura 7: ATPwn en 8dot8 Las Vegas en español

Tras pasar por BlackHat USA y DefCon, nuestro amigo y compañero Gabriel Bergel (CSA de ElevenPaths) nos invitó a asistir a 8dot8 LasVegas. Esta edición especial de la 8dot8 se suele celebrar en una suite del Flamingo en LasVegas, pero en esta ocasión tocó hacerla online. Es una edición para ponentes hispanoamericanos que presentan en BlackHat o en DefCon. Siempre es un placer poder estar con Ragnar y el enorme equipo de 8dot8. 

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 8: Contactar con Pablo González

Conferencia: Bad Guys Never Sleep. Entrevista: Nueva Dimensión. Podcast: Ciberseguriad & Gaming.

Ayer hice dos publicaciones porque no quería dejar pasar más tiempo antes de dejar constancia que la estafa de los Bitcoins usando mi imagen era eso: una estafa. Así que hoy el post que os traigo es cortito, solo unos vídeos que he subido a mi canal Youtube para que los veáis si se os han escapado.

Figura 1: Conferencia: Bad Guys Never Sleep.
Entrevista: Nueva Dimensión. Podcast: Ciberseguriad & Gaming.

El primero de ellos ya lo saqué ayer, pero como no os había hablado de él, os lo vuelvo a dejar. Se trata de la conferencia que di en México vía VC y en la que hablaba de cómo los malos, con el objetivo de lucrarse utilizan cualquier técnica que sea necesaria - sencilla o compleja, nueva o antigua - para cometer sus delitos.

Figura 2: Bad Guys Never Sleep

Curiosamente, en esa charla hablaba de las estafa de los BitCoins usando la imagen de personas populares, que al cabo del tiempo han hecho con mi imagen. Así que ten mucho cuidado con tu dinero y no te creas todas las Fake News que veas por la red.

El segundo vídeo que so dejo es una entrevista que me hizo hace muy pocos días el periodista Juan Gómez para el programa de radio Nueva Dimensión donde hablamos de de hacking, de los riesgos de privacidad, la inteligencia artificial usada para suplantar personas, etcétera...

Figura 3: Entrevista a Chema Alonso en Nueva Dimensión

Mucho e lo que hablamos se basa en la conferencia que dicté como Keynote en el Security Innovation Day 2019 de ElevenPaths, que si no las visto la tienes aquí mismo. Mucho de lo que cuento en la entrevista lo puedes ver en directo con demos.

Figura 4: Keynote de Chema Alonso en Security Innovation Day 2019

Y por último, un nuevo Podcast de ElevenPaths Radio, en este caso con Josep Albors de ESET y Andrés Naranjo, aka TheXXLMan, hablando de Ciberseguridad & Gaming, que, estoy convencido, a los gamers os resultará más que interesante.

Figura 5: ElevenPaths Radio: Ciberseguridad & Gaming

Y nada más, si queréis contactar con alguno de nosotros, ya sabéis que gracias a ESET puedes conseguir 100 Tempos gratis en MyPublicInbox.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

No, Chema Alonso No está invirtiendo en BitCoins. Es una estafa con Fake News que ahora usa mi imagen. #BitCoin #estafas #Criptomonedas

Hace poco más de un mes os contaba cómo utilizaban la imagen de personas como David Broncano, Dani Rovira, Karlos Arguiñano o Carlos Slim para captar víctimas por medio de campañas de Malvertising y Fake News. El gancho es una supuesta noticia en la que se cuenta cómo una persona narra su fórmula de éxito para ganar mucho dinero con BitCoins. De esto hablé en la charla de "Bad Guys Never Sleep".

Figura 1: No, Chema Alonso No está invirtiendo en BitCoins.
Es una estafa con Fake News que ahora usa mi imagen.
#BitCoin #estafas #Criptomonedas

Pues bien, es una estafa, como ya os conté en el artículo titulado: "La estafa de las inversiones en BitCoin que usa la imagen de Dani Rovira, David Broncano y otras personas populares con Gremlin Ads y Fake News", que ahora me utiliza a mí. Os recomiendo que veáis la charla donde se explica la estafa que hacen con detalle.

Figura 2: Bad Guys Never Sleep

Ahora, desde hace varios días, han empezado a utilizar mi imagen en artículos del mismo estilo para capturar víctimas que les entreguen su dinero. Misma estafa, pero ahora utilizándome a mí. Así que he escrito este artículo para que tengáis claro si veis cualquier publicación similar, u os dicen que han visto algo así, tengáis claro que es una estafa. 

Figura 3: Sitio en Google en cirílico

Me da pena que al final engañen a la gente con mi imagen, así que si podéis avisar a todo el mundo, mejor que mejor. Dejadles claros que "No, Chema Alonso no está invirtiendo en BitCoins u otra Criptomoneda", y por las dudas... "Tampoco estoy preparando mi salida de mi querida Telefónica", y ya es la segunda vez en tres años que usan el mismo truco para ganar audiencia. 

Figura 4: La supuesta empresa "Crisis AID" es uno de los nombres que van cambiando página a página, pero la cantidad suele rondar eso: 250 €

Como gancho curioso vuelven a utilizar mi paso por El Hormiguero, que fue en el año 2014, y  donde hablé de otras cosas. Luego, de El Hormiguero me traje el cariño de Trancas y Barrancas, pero no he vuelto a ir a contar nada como lo que dicen. 

Figura 5: Estafa con el gancho de mi paso por el hormiguero

Las criptomonedas son una inversión para gente de riesgo, pero es que en este caso no se trata ni de invertir tan siquiera. Es simplemente una estafa donde tú das dinero y nunca ganas nada. Al final de la noticia, lo que se trata es de que la víctima se abra una cuenta y les haga un ingreso voluntariamente.

Figura 6: Al final se busca que la víctima envíe el dinero.

He visto a muchas personas estafadas con este tipo de esquemas, y podéis contárselo a todo el que os hable de este tipo de noticias. Además, la acompañan con vídeos en Facebook e Instagram, todos con un gancho de mi imagen.

Figura 7: Vídeo de captación de víctimas en RRSS (Instagram y Facebook)

Las criptomonedas, y BitCoin por excelencia, son unas tecnologías difíciles de controlar y entender en todas sus variantes. Os sigo recomendando el libro de Felix Brezo y Yaiza Rubio sobre "BitCoin: BlockChain y su investigación", que explica muchos conceptos básicos para entender este mundo que no es tan fácil como muchos lo pintan.

Figura 8: El mejor libro para entender BitCoin

Esperemos que los cuerpos de seguridad acaben poniendo entre rejas a estos grupos de estafadores, que aunque a veces les lleva tiempo armar el caso completo, al final los acaban deteniendo como muchas de las bandas que ya han acabado delante de la justicia. Pero avisa a tus amigos y familiares de este tipo de estafas.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)