domingo, mayo 24, 2020

Cómo un "skater" salvó el Security Innovation Day de ElevenPaths en 2013 jugándose el físico

Un viaje está lleno de etapas. Y llegar al destino no es tan importante como hacer el camino. Y vivir los buenos y malos momentos. Hoy os voy a contar una Microhistoria que no sé si es de la historia de la informática como esas que cuentan Fran Ramírez y Rafael Troncoso en la joya que es ese libro donde cada capítulo es una pieza magnífica, pero sí que es de la historia de ElevenPaths y mía personal. Y os la voy a narrar.

Figura 1: Cómo un "skater" salvó el Security Innovation Day
de ElevenPaths en 2013 jugándose el físico



Para los que no habéis seguido mucho este blog, u os habéis saltado alguno de los capítulos, dejadme que os haga un rápido resumen. En 2010 participé como ponente en el evento Top 100 de Telefónica, organizado para los cien primeros ejecutivos de la compañía. En 2011 hicimos Informática 64 y Telefónica juntos la Gira Up To Secure y el 1 de Febrero de 2012 comencé a trabar como externo con Telefónica para lanzar el programa Talentum. A finales de 2012 comenzamos a tener conversaciones sobre la adquisición de Informática 64 por parte de Telefónica y en Abril de 2013 comenzamos la andadura como Telefónia Digital Identity & Privacy hasta que en Junio de 2013 tuvimos por fin la marca de ElevenPaths.  De eso ya os hablé en ese artículo de "No soy Galáctico, soy de Móstoles"

Así que sitúate en esos momentos. En el momento en que llevamos tres meses dentro de Telefónica y estamos comenzando a hacer nuestras primeras patentes y productos. Habíamos formado el equipo de salida, fichando a gente de diferentes lugares, y necesitábamos que hubiera un rumbo por el que avanzar a buen ritmo, y con una dirección clara, así que,  con el objetivo de tener Deadline, Delivery y Comunicación,  pusimos un día en el calendario: El Primer Innovation Security Day.

Figura 2: Post de anuncio del primer Innovation Security Day

Este evento era el que había marcado yo en el calendario para presentar los nuevos productos en los que estábamos trabajando. Uno de ellos era MetaShield Protector, que venía de hace mucho tiempo, otro era Faast, nuestra servicio de Pentesting Persistente que era una evolución de nuestra querida FOCA pero con un enfoque Cloud y Persistente, y el último era un nuevo producto de innovación para el que habíamos estado rellenando y depositando las patentes. Nuestro querido Codename: Path 2 que acabaría llamándose Latch.

Por el camino se quedaron el Codename:Path 1, Codename: Path 3. No sería hasta el año siguiente cuando comenzaríamos a trabajar con el siguiente producto de innovación que sacaríamos a producto, nuestro querido Path5 que a día de hoy sigue creciendo. Pero eso es otra historia. Lo cierto es que estábamos trabajando a todo ritmo un grupo muy pequeño de personas para desarrollar Latch, Faast y MetaShield, al tiempo que gestionábamos la empresa, hacíamos el trabajo de comunicación, marca, patentes, innovación, y M&A, ya que estábamos intentando cerrar la operación de incorporar SmartAccess dentro de ElevenPaths. Y éramos un equipo muy reducido en aquel entonces.

No hace falta que os día que fueron momentos intensos. Muy intensos y divertidos. Hacer producto, innovar, desechar proyectos que se quedaban en el tintero, negociar para adquirir otra empresa, fichar gente para el equipo, gestionar comunicación, etcétera. No había un segundo que perder, y el ritmo de combate era muy alto. Como siempre ha sido en ElevenPaths.

Y todo, todo, todo, se ponía de largo el  mismo día. El 12 de Diciembre de 2013. El último día que podíamos de ese año. No podíamos hacerlo antes porque no llegábamos a tener listos los productos para enseñar, pero si lo hacíamos más tarde, sería ya en el 2014, y habría que esperar otra oportunidad ya después del Mobile World Congress. Había que forzar la máquina y tenerlo listo para ese día. Y corrimos mucho, mucho. 

Recuerdo carreras de un edificio a otro para llegar a tiempo a cosas distintas que eran importantes en aquellos momentos. Llamarnos a las  mil de la noche para discutir un documento de patente, para corregir un test que no funcionaba como debía, para cambiar el diseño del candado en una de las pantallas de las apps, para que el el consumo de Faast no se disparara o el log de la base de datos no se llenara, para aplicar los parches, para actualizar los certificados en el Certificate Pinning que pusimos en las apps para evitar los ataques de man in the middle. Para ver el diseño del escenario, las invitaciones, el catering de ese día, decidir las demos y los mensajes.

Hacer un Security Innovation Day de ElevenPaths lo sentíamos como hacer una superproducción musical en Broadway. No solo por la parte que ve el público, sino por la cantidad de cosas de tecnología que hay que hacer antes para que la demo - que yo la tenía que hacer en real - funcionase perfectamente y no hubiera problemas de ningún tipo.

Llega el día del evento

Pues bien, vayamos ahora justo a ese día. Al día del evento. Al día en el que el Innovation Security Day va a tener lugar. Al jueves, 12 de Diciembre de 2013. Yo había dejado publicado el primer post de la serie "Cómo proteger las identidades digitales" donde iba a presentar Lath en sociedad, y era en la segunda parte del artículo, la que salía el día siguiente al evento, donde yo ya hablaba de este servicio.

Y la imagen de la situación era tal que ésta.

Serían las 14:00 de la tarde, había comido un sandwich y estaba sentado escribiendo la segunda parte del post que os he dicho antes. Estaba acabándolo y hablando con Palako, que iba a estar también en el escenario conmigo. Estábamos exhaustos, pero con una excitación interior por el gran momento. Lo hacíamos por la tarde para que nos siguieran desde latinoamérica, y habíamos probado las demos en mi equipo. Hicimos una última prueba, terminamos las dispositivas y nos fuimos hacia el auditorio.

El auditorio de Telefónica en Distrito C ardía en bullicio con todo el mundo preparando las zonas de demos, las zonas de catering, los regalos a los asistentes, la decoración del escenario, repartiendo las camisetas al equipo, probando las conexiones a Internet para las demos, etc... y llegué con mi equipo. Con el que iba a utilizar para hacer las demos. Con el que tenía todo preparado para que funcionara todo. Ese ordenador portátil, esa computadora tenía todo up&running para hacer las demos.

Y todos lo sabían.

Todos los que han estado cerca de mí cuando doy una charla saben que llevo siempre mi equipo y que me gusta controlarlo todo a mí. Y mis compañeros de ElevenPaths y de los equipos de audiovisuales me conocen muy bien. Saben que llevo mi equipo después de ajustar todo para que no falle nada. Lo conecto y a cantar.

Así que, llegué con mi ordenador ese día, a menos de dos horas del evento, y se lo di a mi compañero "lejandro Remondo para que lo probara en el atril, lo conectara a audiovisuales y lo dejara todo níquel, níquel. Mi ordenador personal lo toca poca gente, y normalmente solo Franky y Jandro - vaaale, alguna vez se lo dejo a Rober - son los que, desde hace casi 20 años, se hacen cargo de tocar mi computadora cuando es necesario para algo. Son reglas internas que todos conocemos, así que, como una de muchas veces antes - en Informática 64 - le di mi ordenador personal a Jandro.

Vale, ahora imaginad la situación. Veníamos de nuestra Informática 64 en Móstoles y estábamos en el día en que le íbamos a contar a todo el mundo - incluidos nuestros compañeros de Telefónica - qué es lo que habíamos estado haciendo durante esos ocho meses que llevábamos trabajando en ElevenPaths. Todo el mundo estaba deseoso y ansioso por enseñar nuestros juguetes. Y Jandro no escapaba de ese nerviosismo y ansiedad. 

Supongo que si te pregunto qué es lo que crees que voy a contar a continuación estarás pensando que Jandro tuvo un accidente y se le rompió el ordenador y tuvimos que hacer algo corriendo para reemplazarlo. Pero no, no es eso. ¿Entonces?¿Qué paso en ese momento para que casi hubiera que cancelar el evento?

Pues que Jandro voló por los aires.

Subió corriendo y nervioso las escaleras del auditorio, se trastabillo al pisar en el alzador que tenemos en el atril del auditorio y salió volando de cabeza contra el suelo. Volando es volando. Como si se hubiera tirado de cabeza a una piscina. Imagínate a Jandro con mi ordenador en la mano saliendo por encima del escenario de Telefónica - que mide como 1,2 metros o así, saltando por el cielo. En ese momento, la gente que lo vio hacer el hombre pájaro pegó un grito, y todos pensaron: "se mata". Pero Jandro tuvo un segundo para moverse en el cielo. Años de skater le han dado reflejos en el aire, así que tuvo un momento para reaccionar y moverse en el aire.

¿Y qué hizo?

Pues cualquier persona en su situación se habría protegido la cabeza para no matarse, pero Jandro solo pensó en una cosa: "El ordenador de Chema Alonso con las demos". Sí, esa fue su motivación única. Así, mientras hacía el vuelo de Ícaro se apañó para meter mi ordenador en su regazo y girarse en el aire  lo suficiente como para caer de medio lado y espalda con mi ordenador protegido. Pero se dio un golpetazo de impresión. 

Desde el suelo, levantó la mano y dijo: "El ordenador, el ordenador, el ordenador" y se lo dio a Franky que lo probó rápidamente mientras todos los demás intentábamos ayudarle porque la caída había sido de impresión y no se podía levantar. Sí, se había hecho daño. Daño de verdad. Y no pudimos levantarlo. Llamamos a los servicios médicos de Telefónica y después estar como 15 o 20 minutos en el suelo sin poder levantarse porque se había golpeado en la ingle y le dolía la espalda mucho, llegaron para llevárselo. 

En ese momento pensamos en cancelar el evento. Estábamos todos muy preocupados por Jandro, pero él desde la cabina preguntó a Fran si el equipo estaba bien. Franky le levantó e pulgar y le dijo que todo ok. Y Jandro se rió y nos dijo:

"A ver si casi me mato para que no se rompa el ordenador y ahora no vais a dar la charla".

Así que, casi al tiempo que entraban los primeros invitados al evento, Jandro salía en camilla para el hospital. Y la historia siguió su curso. Dimos la presentación, el evento fue un éxito para todos, ElevenPaths pasó ese peldaño en su historia y siguió su camino de crecimiento, con una parada cada año en el Innovation Security Day. Sistemáticamente. Y todo fue por que un "skater" se jugó el físico y salvó la demo, además de salvar la cancelación del mismo cuando nos animó a seguir.

Si hoy vas al auditorio de Telefónica verás que hemos puesto unos cristales al lado del atril y el alzador está pegado al suelo y con unas cintas de colores para que al ojo le sea más fácil medir la distancia. Pero lo mejor de todo es que la historia de ElevenPaths, que pasa por aquel evento - sin duda - depende de que todo el equipo - todo - de lo mejor de sí para que las cosas salgan. Podíamos haber fallado con los productos, con los desarrollos, con las demos, con la convocatoria de comunicación, con las invitaciones, etc...y el fallo casi lo tenemos en un accidente fortuito en el que una persona dio más de lo exigible para salir adelante.


Por eso, cuando en un evento yo hago una presentación de algún producto, proyecto o servicio en el que hemos trabajado muchas personas, la responsabilidad es máxima. En ese momento, subido en el escenario el que la puede "liar" soy yo, así que intento con todas mis fuerzas que el producto, el proyecto o el servicio luzca y guste a la audiencia. 

Esta, sin duda, es una de las anécdotas de la historia de ElevenPaths que contamos muchas veces, pero si algún día me animo y escribo mis memorias, contar en detalle días como estos será pieza clave, porque explicar por qué algo triunfa y crece y otras cosas no, solo se puede explicar con acciones y decisiones en momentos clave como este.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

sábado, mayo 23, 2020

Todos los cómics de superhéroes de Jerry Finger en @0xWord

Si has seguido este blog durante un tiempo, ya sabrás que comenzamos a publicar las nuevas aventuras de los superhéroes de Jerry Finger, centrados en tres colecciones que siguen vivas y que poco a poco vamos publicando. Ahora, hemos traído todos los cómics en formato grapa y tomo publicados hasta el momento para que los puedas adquirir, leerlos, y meterlos en tu bolsita de plástico "Acid-Free" para conservar estas joyas.

Figura 1: Todos los cómics de superhéroes de Jerry Finger en 0xWord

Cómo sabéis, todos estos cómics los editan los herederos y fans de Jerry Finger, con los que podéis contactar para contar y proponer más historias, sugerir acciones, o colaborar con vuestros propios cómics de superhéroes a través de su buzón en MyPublicInbox.

Figura 2: Contactar con Jerry Finger en MyPublicInbox

Desde hoy tienes disponibles los cuatro cómics de "Armatura Uno" en la web de 0xWord Cómics, los tres números de La Elite y los dos números de Evil:ONE, para que puedas seguir todas las aventuras comiendo viñetas de superhéroes y acción.

Figura 3: Armatura Uno número 1

Figura 4: Armatura Uno número 2

Figura 5: Armatura Uno número 3

Figura 6: Armatura Uno número 4

De Armatura Uno que es el superhéroe que hace de nexo entre todas las aventuras, puedes conseguir la pegatina, que es la que probablemente encontrarás si te fijas en todas las que llevo en mi computadora hoy en día en las conferencias.

Figura 7: Pegatina de Armatura

Además de la serie de Armatura Uno, tienes las aventuras de La Elite, de la que van tres números que tienes disponible ya a la venta en la web de 0xWord Cómics.

Figura 8: La Elite número 1

Figura 9: La Elite número 2

Figura 10: La Elite número 3

De estas dos series, hicimos el primer tomo recopilatorio del Universo Armatura en el que tienes los primeros cuatro números de Armatura Uno y los dos primeros números de La Elite, en una edición rústica en tomo.

Figura 11: Universo Aramatura Tomo 1

Y la tercera y última serie del Universo Armatura, que mezcla superhéroes y hacking, es Evil:One, que es una miniserie de tres números y de la que estamos acabando el último número. De momento tienes los números uno y dos.

Figura 12: Evil:ONE número 1

Figura 13: Evil:ONE número 2

Y de este último, de Evil:ONE hicimos la camiseta. Seguro que si has visto conferencias mías durante el último año habrás visto esa camiseta molona que llevo muchas veces.... Me la hice para mí, y hay muy poquitas, pero alguna queda.

Figura 14: Camiseta de Evil:ONE

Y esto es todo lo que estamos avanzando por ahora en el mundo de los cómics de superhéroes, que aunque conseguir tener un cómic nuevo es un auténtico logro, es precioso ver que algo que ha sido tu sueño de niño lo puedes ver hecho realidad. A todos los que os habéis comprado alguno de estos cómics... ¡gracias!

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

viernes, mayo 22, 2020

Aplicaciones prácticas de Docker en ciberseguridad: Contenedores para “crackear” passwords utilizando GPU

Continuamos con nuestra serie de artículos donde vamos publicando diferentes herramientas relacionadas con la ciberseguridad, eso sí, siempre con Docker como eje principal. En el primer artículo de esta serie contamos cómo crear nuestro propio Proxy para poder navegar por la red TOR. En esta ocasión, vamos a sacar partido a los contenedores Docker que también utilizan la GPU del equipo para romper o crackear contraseñas. 

Figura 1: Aplicaciones prácticas de Docker en ciberseguridad:
Contenedores para “crackear” passwords utilizando GPU


De esta forma, de una manera limpia y sencilla, puedes desplegar este tipo de herramientas en tu ordenador durante un Ethical Hacking. Recuerda que un buen punto de partida para comenzar en el maravilloso mundo de Docker es nuestro libro Docker:SecDevOps ;)

Figura 2: Libro de Docker:SecDevOps

Como ya hemos comentado más de una vez, la gran ventaja de Docker es el poder desplegar en pocos segundos, cualquier aplicación que necesitemos sin tener que realizar cambios en nuestro ordenador principal. Vamos con el caso de hoy.

Creando la imagen con doig (Docket Image Generator)

Para crear la colección de herramientas que necesites puedes utilizar la herramienta de Tuxotron, llamada doig, que ya presentamos en el anterior artículo. Para preparar la imagen que vamos a utilizar, ejecutaremos el siguiente comando:
doig -i mytools -t hashcat hashid seclists johntheripper

    Step 1/7 : FROM ubuntu:18.04
    ---> c3c304cb4f22
    ...
    ...
    Step 7/7 : COPY tools.txt .
    ---> 6d818093f1f0
    Successfully built 6d818093f1f0
    Successfully tagged mytools:latest

    Tools added to the image:
    [-] johntheripper: All john tools are under /opt/john/run
    [-] hashcat
    [-] hashid
    [-] seclists
Y ahora, lo primero que necesitamos saber a la hora de crackear una contraseña, asumiendo siempre que le tengamos en forma de hash, es precisamente saber que tipo de algoritmo de generación de hash es el que tenemos entre manos.: md5, sha1, bcrypt, etcétera. 

Identificando el tipo de Hash

Para ello, si no sabemos qué tipo de hash tenemos, la herramienta hashid (que hemos añadido antes en nuestra imagen) es nuestra amiga. En nuestro caso vamos a crear un fichero de texto llamado samples.txt con varios hashes. Estos no tienen porque ser del mismo tipo. Vamos a utilizar hashid para que nos identifique los tipos. 

Figura 3: Libro de Cifrado de las comunicaciones digitales:
De la cifra clásica a RSA (2ª Edición) de 0xWord.

Por supuesto, no podemos dejar de recomendar el libro de Cifrado de las comunicaciones digitales: de la cifra clásica a RSA (2ª Edición) que explica en detalle el cifrado y el hashing. Asumiendo que tenemos nuestro fichero samples.txt en el directorio en el que nos encontramos, podemos ejecutar nuestro contenedor montando dicho fichero dentro del mismo a modo de volumen:
docker run -it --rm -v $(pwd)/samples.txt:/opt/samples.txt mytools
Veamos el contenido de nuestro fichero samples.txt:
cat samples.txt
8743b52063cd84097a65d1633f5c74f5
b89eaac7e61417341b710b727768294d0e6a277b
fcf7c1b8749cf99d88e5f34271d636178fb5d130
b4b9b02e6f09a9bd760f388b67351e2b
127e6fbfe24a750e72930c220a8e138275656b8e5d8f48a98c3c92df2caba935
Como podemos ver tenemos 5 hashes en dicho fichero. Veamos que nos dice hashid:
hashid samples.txt
    --File 'samples.txt'--
    Analyzing '8743b52063cd84097a65d1633f5c74f5'
    [+] MD2
    [+] MD5
    [+] MD4
    ...
    ...
    [+] RAdmin v2.x
    Analyzing '127e6fbfe24a750e72930c220a8e138275656b8e5d8f48a98c3c92df2caba935'
    [+] Snefru-256
    [+] SHA-256
    [+] RIPEMD-256
    [+] Haval-256
    [+] GOST R 34.11-94
    [+] GOST CryptoPro S-Box
    [+] SHA3-256
    [+] Skein-256
    [+] Skein-512(256)
    --End of file 'samples.txt'—
Con hashid, se analiza cada hash y nos da una lista de posibles algoritmos correspondientes a cada hash. hashid también nos puede proporcionar el tipo de hash en formato john the ripper o hashcat. La opción *-j* nos ofrece el format jonh:
    hashid -j samples.txt
    --File 'samples.txt'--
    Analyzing '8743b52063cd84097a65d1633f5c74f5'
    [+] MD2 [JtR Format: md2]
    [+] MD5 [JtR Format: raw-md5]
    [+] MD4 [JtR Format: raw-md4]
    ...
    ...
Figura 4: Ejemplo de ejecución de hascat desde un contenedor
 buscando una contraseña usando fuerza bruta y utilizando GPU.
En el vídeo al final del artículo se detalla su ejecución.

Y la opción -m para el formato hashcat:
    hashid -m samples.txt
    --File 'samples.txt'--
    Analyzing '8743b52063cd84097a65d1633f5c74f5'
    [+] MD2
    [+] MD5 [Hashcat Mode: 0]
    [+] MD4 [Hashcat Mode: 900]
    [+] Double MD5 [Hashcat Mode: 2600]
    ...
    ...
Hashcat

Ahora vamos a ver un poco de información sobre hashcat. Para ver todas las opciones de esta herramienta, podemos ejecutarlo con la opción --help. Una de las opciones más importantes de hashcat son los tipos de hash, el cual podemos averiguar con el comando anteriormente visto hashid. Con la opción -m podemos especificar qué tipo de hash queremos usar. Mirando la ayuda podemos ver que la lista de modos es bastante amplia. Los modos más usados son:
      900 - MD4
        0 - MD5
     1000 - NTLM
     5500 - NetNTLMv1
     5600 - NetNTLMv2
     1100 - mscache1 (xp, w2k3)
     2100 - mscache2 (v, w7, w8, w10,w2k8+)
     3000 - LanManager
     1700 - SHA512
     7500 - Kerberos REQ
    13100 - Kerberos TGS-REP
      400 - Wordpress
     2500 - WPA
     2501 - WPA PMK
Otra opción importante a tener en cuenta es el tipo de ataque:
    0 - Straight (ataques basados en lista o diccionario de palabras)
    1 - Combination (ataques basados en varias listas o diccionarios de palabras)
    3 - Brute-force (fuerza bruta o con máscara)
    6 - Hybrid Wordlist + Mask (lista de palabras + fuerza bruta/máscara)
    7 - Hybrid Mask + Wordlist (fuerza bruta/máscara + lista de palabras)
Veamos un ejemplo de como crackear un hash md5 usando un diccionario:
    echo -n iloveu | md5sum
    edbd0effac3fcc98e725920a512881e0  -

    hashcat -m 0 -a 0 edbd0effac3fcc98e725920a512881e0
            /opt/SecLists/Passwords/Common-Credentials/10k-most-common.txt


    OpenCL API (OpenCL 1.2 LINUX) - Platform #1 [Intel(R) Corporation]
    ==================================================================
    * Device #1: Intel(R) Core(TM) i9-9880H CPU @ 2.30GHz, 15953/16017 
                                       MB (4004 MB allocatable), 8MCU
    ...
    ...
    Dictionary cache built:
    * Filename..: /opt/SecLists/Passwords/Common-Credentials/10k-most-common.txt
    * Passwords.: 10000
    * Bytes.....: 83017
    * Keyspace..: 10000
    * Runtime...: 0 secs

    edbd0effac3fcc98e725920a512881e0:iloveu

    Session..........: hashcat
    ...
    ...
Como se puede apreciar, el hash edbd0effac3fcc98e725920a512881e0 ha sido encontrado:
edbd0effac3fcc98e725920a512881e0:iloveu
Con el parámetro -m especificamos el tipo de hash (0 - MD5), con -a el tipo de ataque, en este caso por diccionario, usando:

 /opt/SecLists/Passwords/Common-Credentials/10k-most-common.txt

Es posible usar varios diccionarios, en cuyo caso usaríamos la opción -a 1:
hashcat -a 1 -m 0 hash-to-crack diccionario1.txt diccionario2.txt ...
Es posible pasar un fichero de hashes también en vez de hashes individuales. Y por supuesto se pueden hacer ataques por fuerza bruta basado en patrones con ataques del tipo 3, y mezclando la fuerza bruta con patrones usando los ataques del tipo 6 y 7

Figura 5: Cracking Passwords con Docker

Incrementando la potencia de cálculo con contenedores y GPU

Hasta ahora, lo que hemos visto es el crackeo basado en CPU, pero realmente donde sacaremos más partido a todo este proceso será cuando usemos GPUs o FPGAs. Y esto también podemos hacerlo activando el acceso a la GPU del ordenador host por parte de los contenedores. Para poder usar la/s GPU/s dentro de contenedores Docker, tienes que instalar dentro de tu contenedor los drivers de tu GPU, y en el caso de NVIDIA tienes que instalar en tu host el paquete nvidia-docker2, como se especifica en este enlace


Pero para que te sea más sencillo de utilizar en un Ethical Hacking, nosotros hemos preparado una imagen de hashcat ya con todos estos requisitos instalados (excepto nvidia-docker2, eso lo tienes que instalar en el host) que hemos llamado hashcat-nvidia y que puedes añadir en la construcción con doig como puedes ver a continuación:
doig -u -i mytools -t seclists hashcat-nvidia hashid johntheripper
Una vez creada la imagen, levantamos el contenedor. Aún estamos perfeccionando la imagen, pero todavía tenemos que pasar algunas variables de entorno desde la misma línea de comandos cuando ejecutamos el docker run:
docker run -it --gpus all --rm -e NVIDIA_VISIBLE_DEVICES=all 
  -e LD_LIBRARY_PATH=/usr/local/nvidia/lib:/usr/local/nvidia/lib64:
  -e PATH=/usr/local/nvidia/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
  -e  NVIDIA_DRIVER_CAPABILITIES=compute,utility mytools
Aquí es importante introducir el comando –gpus all para que, de esta forma, podamos utilizar todas las GPUs disponibles en el host. En el siguiente vídeo podéis ver una prueba de crackeo por fuerza bruta de la misma contraseña (“iloveyou”) que utilizamos antes:


Figura 7: Cracking password con Docker usando GPUs

El viejo rockero, John the Ripper

Hasta ahora hemos hablado de hashcat que es quizás actualmente la herramienta más usada para estos menesteres. Pero hablemos también de un viejo rockero: John The Ripper (JtR), protagonista sin duda de muchas de las anécdotas de la historia de la informática y los hackers.

Figura 8: Libro de "Microhistorias: anécdotas y curiosidades
de la historia de la informática (y los hackers)"

Como hemos visto al inicio de esta entrada, creamos una imagen Docker en la que incluíamos JtR, así que si has seguido los pasos descritos hasta ahora debes de tener en tu contenedor dicha herramienta bajo el directorio /opt/john/run. Desde dicho directorio podemos invocar el comando john. Veamos la lista de tipos de hashes que JtR soporta:
    ./john --list=formats

    descrypt, bsdicrypt, md5crypt, md5crypt-long, bcrypt, scrypt, LM, AFS,
    tripcode, AndroidBackup, adxcrypt, agilekeychain, aix-ssha1, aix-ssha256,
    aix-ssha512, andOTP, ansible, argon2, as400-des, as400-ssha1, asa-md5,
    AxCrypt, AzureAD, BestCrypt, bfegg, Bitcoin, BitLocker, bitshares, Bitwarden,
    BKS, Blackberry-ES10, WoWSRP, Blockchain, chap, Clipperz, cloudkeychain,
    ...
El uso de JtR es muy sencillo, al igual que hashcat podemos usar diccionarios y fuerza bruta con patrones. Así que no vamos a entrar en más detalles sobre el propio JtR. Pero sí queremos añadir que la versión de JtR que instala doig es la versión Jumbo comunitaria, la cual viene cargada con utilidades que nos permite la conversión de ficheros en formato que JtR entiende. Por ejemplo:
    # En salida tendríamos los usuarios con sus hashes listo para ser crackeados con JtR
    ./unshadow /etc/passwd /etc/shadow > salida

    # Para convertir ficheros ssh con clave encriptada
    python3 ssh2john.py fichero-ssh-clave-encriptada > salida

    # Pone en salida el hash de la contreseña de una base de datos de keepass
    ./keepass2john fichero.kdb > salida
Si ejecutamos un ls -l en el directorio /opt/john/run veremos que existen muchas más herramientas de conversión.

Restricción a los contenedores

Si ejecutamos un ls -l en el directorio /opt/john/run veremos que existen muchas más herramientas de conversión. Para finalizar, es importante destacar que la utilización en GNU/Linux de los contenedores no hay límites en el uso de memoria o CPU (en cambio en Windows y MacOS sí que existen). Por lo tanto, es importante limitarlos para evitar llevar al colapso el host. Por ejemplo, para limitar la memoria, podrías utilizar el parámetro –memory durante la ejecución del docker run:
docker run -it --gpus all --rm --memory="256m" mytools
En este enlace encontrarás más información sobre cómo aplicar estas restricciones. De todas formas, para el caso que nos ocupa, seguramente no quieras restringir los recursos para romper las contraseñas los más rápido posible.

Happy Hacking Hackers!!! Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.


 Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso
(@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.



Contactar con Rafael Troncoso en MyPublicInbox

jueves, mayo 21, 2020

Piratas Informáticos Éticos Certificados (PIEC) "for Hire"

Si ayer os hablaba de una web que ofrecía servicios de espiar WhatsApp, cambiar notas de la universidad, hackear Facebook en un minuto, y demás servicios profesionales de hacking, hoy os traigo otra empresa de Piratas Informáticos Éticos Certificados a los que podemos llamar (PIEC) que también están al servicio del mejor postor. Lo curioso es que, a pesar de tener otro aspecto y otros contenidos, el correo electrónico de contacto es exactamente el mismo correo de Gmail.

Figura 1: Piratas Informáticos Éticos Certificados (PIEC) "for Hire"

La web es un calco a la que vimos ayer, con similitudes en el mensaje de Hackers for Hire en España que son muy profesionales. Se hace hincapié en el mensaje de "Profesionales" porque seguro que has oido de mucha gente que ha sido estafada utilizando estos servicios "No vayas a pensar que aquí te van a estafar", que la respuesta es que: Más que probablemente sí.

Figura 2: Hackers Éticos e Investigadores Privados a su servicio

Los servicios que se ofrecen son los que supones. Espiar WhatsApp, hackear Instagram, hackear Facebook, cambiar notas de universidades, quitar multas, etcétera. 

Figura 3: Por qué somos los mejores

Más o menos con el tipo de mensajes que me suelen llegar a mí demandando este tipo de servicios. Como en la web de ayer, también tenemos testimonios de clientes satisfechos con el servicio. No vayas a pensar que pagas por un mal servicio. Son Piratas Informáticos Éticos Certificados.

View this post on Instagram

De ayer mismo.... que pesados }:S

A post shared by Chema Alonso (@chemaalonso) on


Entre los testimonios de clientes satisfechos está el de Carlos Pastrana contándole a todo el mundo que su mujer le engañaba y le era infiel, pero que gracias a este servicio de hackers profesionales - no sé si discretos - ya lo ha descubierto él y todo Internet. Y también Willians Miria que necesitaba unos hackers para piratear una web y que aquí le atendieron de maravilla.

Figura 5: Nuestros clientes

Por supuesto, con utilizar un poco el Hacking con Buscadores y tirar de Google Images vemos que la foto de Carlos Pastrana es de un modelo nórdico utilizado en múltiples sitios de la red, que dudo mucho que sea uno de los clientes de Hacking en España. 

Figura 6: Hacking con Buscadores -
 Google, Bing, Shodan & Robtex - 3ª Edición

Me llama la atención que no se han molestado mucho en buscar o utilizar fotos de "This Person Does Not Exist" que dificultaría un poco más la búsqueda, pero está claro que esta web no está pensada para aguantar un análisis profundo, sino un que va dirigida a un público no tecnológico que está deseoso de estos servicios.

Figura 7: La foto de "Carlos Pastrana" es de un modelo

Y el caso de Willians Miria es más peculiar, ya que es un emprendedor del mundo tecnológico que tiene hasta una empresa, y que es igualmente fácil de localizar con hacer una búsqueda por imágenes en Google

Figura 8: La foo de Willians es robada de un perfil

Por último, hay que remarcar la zona de contactos. Mientras que en la cabecera tenemos el correo admin del dominio como forma de contacto, y un horario de servicios muy hacker de 6 A.M. a 11 P.M., como podemos ver en la Figura 2, en la zona de contactos vemos el mismo correo electrónico Gmail que había en la web de ayer, un  número de teléfono con un prefijo que seguro que no es de Madrid, ni de Barcelona, y un FAX afortunado, que le ha tocado el 1234567 del mismo prefijo de esa ciudad 977.

Figura 9: Contacto de eta web

Por supuesto, todos lo iconos de Linkedin, Twitter, Facebook, etcétera que aparecen la web no funcionan y no apuntan a ningún sitio. Es decir, la misma estafa de ayer para recoger dinero de todos esos que van por la vereda de Internet pidiendo a gritos meterse en líos. Ten cuidado con tu vida digital, como os he dicho muchas veces.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

miércoles, mayo 20, 2020

Contratar hackers profesionales para hackear WhatsApp, la universidad y espiar a tu pareja: La estafa.

Durante muchos años he hablado de los que confunden hackers con cibercriminales, y he publicado a lo largo de los años artículos del tipo "Buscas criminales, no hackers", en el que he publicado algunos de los mensajes que me llegaban por múltiples sitios. Mensajes para Espiar el WhatsApp, el Facebook, el teléfono móvil de personas. Por si acaso, léete el artículo de Proteger WhatsApp a prueba de balas, y luego sigue con este post para que veas qué mundo tenemos hoy en día.

Figura 1: Contratar hackers profesionales para hackear WhatsApp,
la universidad y espiar a tu pareja: La estafa.



A día de hoy sigo recibiendo estos mensajes, sobre todo por mi cuenta de Instagram, donde dejé de leer los mensajes que me enviaban hace tiempo, debido a la cantidad ingente de cosas que me preguntaban - desde se me ha roto el PowerPoint hasta quiero hackear un Fabebook -.


Pero hoy os quería hablar de varios mensajes que me han llegado por mi cuenta de MyPublicInbox, donde me han preguntado varias personas por unas webs de "Hackers for Hire". Es decir, de webs que ofrecen servidos de "Hackers Profesionales" para hacer lo que muchos siempre sueñan. Pero es una estafa y por supuesto ni los iconos de Twitter, Linkedin o números de teléfono funcionan. Son más falsos que una moneda de madera.

Figura 3: Página de Hackers Profesionales for Hire

Estas páginas - y esta en concreto - se presentan como una página de una empresa de verdad, con profesionalidad y como si fuera un servicio, pero no es más que una fachada para conseguir lo importante, el contacto de la persona que quiere contratarlos para sacarle dinero. Para ello, la web está llena de los términos y cadenas de búsqueda que las personas utilizan en Google y otros buscadores para localizar a estos "Hackers for Hire".

Figura 4: Servicios de Hackers


El dinero a las le van a sacar de dos formas. Primero por el servicio que su víctima - que es la persona que los quiere contratar - solicita. Es decir, el coste que negocian por cambiar notas de la universidad, por borrarlo de un fichero de morosos, de hackear y espiar un WhatsApp, etcétera. Lo que la persona que los quiera contratar quiera. ¿Quieres hackear una base de datos del gobierno para borrar una multa? No te preocupes, ellos tienen ese servicio. Siempre que pagues por anticipado el dinero.

Figura 5: "Buscas contactar un Hacker Informatico en Barcelona" o en Madrid

Las webs están llenas de cadenas de SEO utilizadas por los que buscan este tipo de servicios. Y esta concretamente está orientada a estafar a personas de España, por eso posiciona términos con España, Madrid, Barcelona, Toledo, Vigo, Mallorca, y otras ciudades de por aquí, pero se ve claramente que el lenguaje no es 100% del que utilizamos por aquí, ya que utiliza expresiones y forma de escribir no comunes en España.

Figura 6: Algunas cosas en las que somos geniales!!

Esta parte me ha encantado. El título de la Figura 6 "Algunas cosas en las que somos geniales!!" es muy cercano y juvenil. El texto después es serio y profesional.  La parte de universidades es absolutista, dejando claro que su sistema es efectivo para hackear universidades, cuando los sistemas de cada universidad son diferentes. De esto ya os hablé en un artículo hace tiempo en el artículo de "La estafa del hacker para cambiar notas de las universidades".

Figura 7: "Metodo hackear Whatsapp"

Por supuesto, la estrella en esta web es el hacking para Espiar WhtatsApp, algo que otras webs han hecho con el hacking de Facebook. Os dejó el ejemplo antiguo de "Cómo hackear Facebook en un minuto con chiringuito".

 
Figura 8: Vídeo de webs para "Hackear Facebook en 1 minuto"

A pesar de parecer la página de una empresa, cuando se ven los textos en detalle, se puede observar que no están cuidados, ya que están mal puntuados, mal acentuados y con expresiones que parecen no tener mucho sentido. Solo se trata de poner cadenas de texto que hagan que llegue tráfico desde los buscadores.

Figura 9: Servicios Hacker Profesional

En la web hay un par de partes que me han impactado especialmente. La primera esta de "Client Testimonials" que es una mala traducción al inglés porque entiendo que están utilizando esta misma estafa para países angloparlantes. En ella se ven fotos de supuestos clientes, satisfechos con sus servicios.

Figura 10: "No confíe en nuestra palabra: esto es lo que dicen nuestros clientes"

Sorprendentemente, basta con hacer una búsqueda en Google Images con la primera de las fotos y ver que estos tipos no han tenido ningún miramiento, ya que han utilizado la foto del obituario de una persona fallecida en el año 2016 en Florida (Estados Unidos), que por supuesto no se llama Carlos Manrique.

Figura 11: Uno de los falsos clientes es una persona fallecida

Y lo mismo para el equipo de la empresa. Donde todos son guapos, profesionales, y con puestos de lo más variopintos. Por supuesto, los enlaces a Twitter, Linkedin, etcétera, no funcionan. Son solo decoración para hacer parecer más profesional esta página de "Hackers for Hire". Eso sí, el vídeo al principio de la web es de Anonymous, pero luego están los perfiles de los "Hackers Profesionales".

Figura 12: El que pretende ser equipo de "Hackers Profesionales"

Por supuesto, siendo tan guapos no me extrañó que la buscar algunas de las fotos en Google Images apareciera que eran modelos. Uno de ellos, en concreto Andrés Ferrari, que es el que hace de CEO y Fundador de este grupo de hackers profesionales guapos, es un modelo de barbas.

Figura 13: Andrés Ferrari es un modelo de barbas

Para cubrir todo el abanico a la hora de convencer a sus "clientes", esta web pone el puntito técnico, añadiendo información de un bug descubierto por el equipo de Project Zero de Google que afectaba a iOS (iPhone) y que fue arreglado el año pasado. Por supuesto, estos exploits tienen un alto valor - ya vimos lo que se podía pagar por un exploit remoto de iPhone - y por como os imaginaréis la gente que los tiene los vende a los "vendors" de seguridad y no los usa para hackear el WhatsApp de las parejas de la gente.

Figura 14:  Supuesto exploit usado


Como se puede ver la expresión de "¿Qué tan grave es..." tampoco es una expresión muy común por aquí en España. Y lo curioso es que la letra pequeña explica que la vulnerabilidad está parcheada. En el siguiente vídeo os dejo una visita explicada a la web de estos "Hackers for Hire".

Figura 15: Hackers for Hire "La estafa"

Por último, os había dicho que una de las formas con las que sacaban dinero era con vender el servicio - que no van a hacer porque se jugarían un problema legal más gordo -. Lo que hacen es pedir dinero y más dinero a su cliente hasta que este se enfada y deja de enviarles dinero. Entonces, a veces, amenazan al cliente con denunciarle y hacer públicos los datos y las conversaciones que han tenido con él, extorsionando al contratante de los "hackers for hire"

Figura 16: Cómo protegerse de los peligros en Internet
de José Carlos Gallego Cano

Y si consiguen datos suficientes, pues se pueden dar los mismos problemas que comentaba en la estafa de la venta fraudulenta, si ellos han conseguido datos suficientes de quién los contrata. A todos los demás, os recomiendo que os leáis el libro de "Cómo protegerse de los peligros en Internet" porque esta estafa de "hackers for hire" existe debido a que hay una demanda muy grande por parte de las personas. Triste, pero es así.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares