La novela "Cluster" de 0xWord Pocket y el Black Friday

Ayer por la tarde se publicó el nuevo libro de la Editorial 0xWord, pero bajo una nueva línea llamada 0xWord Pocket. Ya teníamos en la editorial algunos títulos que están centrados más en la lectura y el entretenimiento que en la parte técnica, como es el caso de los libros de Wardog y el Mundo o el de Microhistorias: anécdotas es historias del hacking & informática, además de contar con el libro de Hacker Épico, que además de contar cosas técnicas, es principalmente una gran historia de lectura que hemos podido incluso trasladar a un cómic. El nuevo libro se llama Cluster y es una novela. Una novela, pero con una carga tecnológica alta, y hemos querido crear la nueva línea 0xWord Pocket para diferenciar bien estos libros de lectura, de los textos que sean principalmente técnicos.

Figura 1: Cluster, 0xWord Pocket y el Black Friday 2015

Cluster es una novela en la que se cuenta una historia de acción con una mezcla de muchos elementos de este mundo nuestro. Une un suceso traumático como el suicidio de un joven que sufre cyberbullying y grooming, con el proceso de investigación de ataques SCADA en el que se busca a un grupo de cibercriminales. Será la Brigada de Investigación Tecnológica (BIT) de la Policía la encargada de llevar a buen puerto la resolución de los casos.

En la trama, que no os quiero desvelar mucho, se explican casos como Stuxnet, el ataque real a Cofrentes por parte de Greenpeace y el mundo de hacktivistmo, así como las acciones de un hacker que ayuda en la resolución de ciertas partes de la historia con el que al final colabora la Policía. Por supuesto, hemos querido que el libro, sin ser un manual técnico, fuera realista con las partes tecnológicas, y no hubiera "magia de Hollywood" de esa que te saca de la película cuando ves cosas como la de la Operación Swordfish.

Figura 2: Cluster, una novela para amantes del hacking y el thriller

El autor es Felipe Colorado, que es Ingeniero Advance Plus de la Universidad Politécnica de Madrid y profesor de matemáticas y tecnología. Ganó el premio Desnivel de Literatura 2009 con su obra “Om, la montaña roja” que es una novela de alpinismo-ficción ambientada en Marte en el siglo XXII y fue finalista del prestigioso Premio Ignotus 2013 en la categoría mejor novela, por “Corazón de alacrán”. En su tercera obra "Baldur. El ocaso del III Reich" abandonó la temática futurista para sumergirse en una tensa trama histórica y ahora ha escrito "Cluster" que entra de lleno en el género tecno-thriller policiaco, abordando los peligros de Internet desde el acoso a menores hasta los ataques a infraestructuras críticas.

Black Friday en 0xWord

El libro lo hemos editado en un formato un poco más pequeño que los manuales técnicos para poder ponerle un coste más bajo al libro, así como para que sea más fácil llevar en los desplazamientos en metro, autobús o tren al trabajo. Y, lo hemos lanzado hoy para que mañana podáis aprovecharos de la oferta del Black Friday que vamos a poner en 0xWord.

Figura 3: Código con 10% de descuento para el Black Friday 2015

Desde las 00:00 horas (hora de España) de este viernes, es decir, desde esta misma noche, hasta las 00:00 horas del sábado, podéis utilizar el cupón BLACKFRIDAY2015 para obtener un 10% de descuento en todas las compras que hagáis en 0xWord, así que si quieres hacer un regalo de Papá Noel o aprovisionarte de material, puede ser el momento que estabas esperando.

Saludos Malignos!

Señor Juez, Facebook guarda todos tus datos pero ninguno de tus acosadores

Entre el número de mensajes que me llegan diariamente solicitando servicios ilegales, el del robo de credenciales de cuentas de Facebook es muy habitual. Esto es así porque Facebook se ha convertido en el centro de la vida social de muchas personas. No el correo electrónico o las cuentas en otros servicios, sino la actividad que se tiene en Facebook. Es por eso que las pasiones humanas se hayan trasladado allí. Celos, miedos, venganzas y acosos han poblado la red social, haciendo que el número de denuncias en los juzgados en que entra de por medio alguna actividad en Facebook crece sin parar.

Figura 1: Señor Juez, Facebook guarda todos tus datos pero ninguno de tus acosadores

Hoy en día, cuando se quiere vilipendiar y acosar a una persona se hace también por Facebook. No es raro que aparezcan cuentas "stalker" que se dedican solo a espiar la actividad de una persona, cuentas "Cyberbullying" que se dedican a insultar y acosar aprovechándose de secretos personales conocidos por algún grado de cercanía, medias verdades que se apoyan en la rumorología o directamente mentiras jugosas que la gente estará dispuesta a deglutir sin necesidad de muchas pruebas.

Figura 2: Petición de hoy para robar la contraseña de Facebook de una ex

Dentro de las cuentas que se crean para acosar a las personas en Facebook existen algunas muy dañinas que son las cuentas de la venganza, donde alguna ex-pareja o ex-relación puntual aprovecha todo lo que puede para hacer daño. Casos de estos son las publicaciones de fotografías comprometedoras que se han hecho en la intimidad de la relación y que acaban publicadas en redes sociales como Facebook o Twitter e indexadas en Google. Hoy en día, las tres empresas han dicho que bloquearán este tipo de contenido para evitar que las personas sufran, como ya os conté en la reflexión que le dediqué a Google sobre este respecto.

Figura 3: Cuenta impersonandome en Facebook

El caso es que no basta con esto. No basta porque el acosador se va de rositas en muchas ocasiones. No hay forma de meterle mano legalmente y ya buscará otra forma de hacer daño a la misma persona. No es raro encontrarse con que el acosador, baneada su cuenta de las redes sociales por haber hecho algún acto similar a estos busca otra forma de conseguir el mismo efecto, enviando el contenido por grupos de WhatsApp o por la clásica lista de direcciones de correo electrónico que crea con las direcciones de las personas cercanas a la víctima.

La justicia en Europa contra el acoso en Facebook

Muchos ciudadanos en Europa está hartos de sufrir el destrozo de su vida pública porque se ha permitido este tipo de publicaciones en una red social, y que los estafadores del sexting están aprovechando para hacer un negocio de las pobres víctimas que capturan en los sitios como Chatroulette y a los que tienen extorsionados después. Tal y como informa Reuters en el caso de una joven de Holanda, este hecho convirtió su vida en un infierno, y en algunos casos hay jóvenes que extorsionadas con la posibilidad de caer en un escándalo similar acaban en esquemas de Grooming que les ha llevado al suicidio.

Figura 4: Amenaza de acoso vía Facebook en una sextorsión

Visto todo esto, en Holanda se ha requerido a Facebook que identifique quién estaba detrás de las acciones de acoso y publicación de los contenidos que han destrozado la vida de esta joven, algo que según dicen ellos es - a pesar de enfatizar con su dolor -: 

"The offending account was ultimately deleted before we received any request for user data, so all information about it was removed from our servers in accordance with our terms and applicable law"

Es decir, Facebook dice no poder cumplir con la regulación porque han borrado todos los datos, lo que convierte a la compañía que más datos guarda de los usuarios, es la que menos datos guarda de los que te acosan, por lo que no podría recuperar ninguna información. Por supuesto, esto al juez no le ha sentado muy bien que digamos y por eso en la sentencia se ha dejado claro que:

"If Facebook continues to maintain that all data that could lead to a person are definitively deleted from its servers and no longer traceable, that should be confirmed by an independent researcher"

Es decir, que ahora se deberá saber si existe alguna forma o no de sacar los datos de los servidores de Facebook o no. No olvidemos que la compañía guarda datos de todos los usuarios que tienen que ver incluso con su navegación - algo que le está costando a Facebook otra investigación de Europa por no respetar la privacidad de sus usuarios - y que el número de bases de datos en las que almacena datos relativos a los IDs de las cuentas es alto, así que más que probablemente existirá forma alguna de tracear los movimientos de esa cuenta entre toda la maraña de datos.

Figura 5: Esquema de captura de datos en Facebook

Recordemos que compañías como Apple se enfrentaron a escándalos como el de CarrierIQ por guardar hasta las pulsaciones que se hacen en el teclado del iPhone en cualquier sitio y que Facebook puede estar guardando hasta lo que se borra al escribir y que venía descubierto por el estudio académico que dos investigadores en Facebook realizaron sobre "la autocensura".

Figura 6: Estudio sobre la autocensura donde se explica
cómo se guardan las pulsaciones de teclas que se borran

Facebook no ha respondido aún y está claro que esto no ha acabado aún. Los anuncios de Google, Twitter y Facebook de luchar contra este tipo de contenidos no es más que una reacción a la exigencia que desde Europa se está haciendo para que cumplan con las legislaciones europeas que las empresas creadas a este lado del océano tienen que respetar y que afectan a la gestión de los datos, los derechos ciudadanos y la investigación de los cuerpos de seguridad del estado que, serán del gusto o no de las empresas citadas, pero son las que hay.

Cumplimiento legal y privacidad en Facebook (y otras)

Para evitar este tipo de cumplimientos legales, incluidos los del gobierno de USA que ha hecho calar en la opinión pública una situación de abuso con revelaciones como el programa PRISM y similares, las empresas están buscando la forma de justificar que ellos no pueden dar esos datos porque no los tienen. Para ello aplican sistemas de mensajería que no guardan los datos en sus servidores, como en el caso de iMessage - aunque eso no implica que no se pueda interceptar la comunicación de los mismos -, o WhatsApp que intenta no guardar esos datos para evitar problemas legales - aunque sigue saliendo mal en los análisis de privacidad -.

Figura 7: Facebook aparece en PRISM desde el año 2009

En el caso que nos ocupa, el de los acosadores en Facebook, si estos tomaron sus precauciones a la hora de crear las cuentas, no será del todo fácil localizarle. Hay que tener en cuenta que con tener una dirección de correo electrónico previa es posible tener una cuenta en Facebook y que esta se puede crear directamente desde la red TOR - incluso conectándose a los servidores de Facebook que la compañía ha puesto allí -.

Figura 8: Servidores de Facebook en la red TOR

Dicho todo esto, el debate está servido como siempre, con respecto a la privacidad. En asuntos como el de la pederastia, empresas como Google y Microsoft ya dieron un paso adelante denunciando a usuarios que guardaban en sus servidores de OneDrive o en el correo de Gmail contenido pedófilo.

¿Merece el acosador irse de rositas? ¿Deben las empresas como Facebook, Twitter o Google permitir que los acosadores vean que destrozar la vida de una persona es fácil gracias a ellos? ¿Deben ser los que pongan las plataformas para que estos individuos campen?

Saludos Malignos!

Cómo grabar fotos y vídeos con autodestrucción de Telegram y SnapChat sin dejar rastro

La app de mensajería instantánea Telegram tiene muchos fans por el atributo de seguridad que ha querido potenciar desde el principio, pero a pesar de eso, tiene más o menos los mismos fallos de seguridad que aplicaciones como WhtasApp, tal y como os conté en el post dedicado a las debilidades de privacidad de Telegram. No obstante, hay una característica que desde que me la contaron me parecía una de esas cosas que dan falsa sensación de seguridad.

Figura 1: Cómo grabar fotos y vídeos con autodestrucción de Telegram y SnapChat sin dejar rastro

En este caso concreto me refiero a la posibilidad que se ofrece tanto en Telegram con en SnapChat de enviar fotos y vídeos con autodestrucción por medio de chat secretos con aviso de si alguien toma una captura de pantalla.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

Los chats secretos

Cuando se abre un chat secreto en Telegram se utiliza un sistema de cifrado extremo a extremo, es decir, se genera un par de claves pública y privada para cifrar la conversación. Las personas Juan y Marta, cuando abren un chat secreto en Telegram, se pasan las claves públicas, de tal forma que cuando Marta le quiere enviar un mensaje secreto a Juan lo cifra con la clave pública de Juan, lo que hace que solo Juan - que tiene la clave privada - pueda descifrarlo. Así funciona de forma resumida el cifrado asimétrico, aunque si quieres más detalles te puedes leer un buen libro de criptografía.

Figura 3: Establecimiento de un chat secreto en Telegram

En el caso de los chats cifrados de Telegram se aplica este esquema, igual que se aplica en WhatsApp desde el acuerdo con Whisper Systems y en muchos otros sistemas de mensajería como iMessage. Este sistema debería ser privado al usar cifrado extremo a extremo, pero como ya demostraron unos investigadores, si la empresa que está detrás decide no entregar las claves públicas de verdad de Juan y Marta, entonces sí que en los servidores de Telegram, WhatsApp o iMessage alguien podría acceder a esos datos, pero... eso es otra historia.

Los mensajes con autodestrucción de Telegram y Snapchat

Al estilo de los mensajes de Snapchat, del que hablaré un poco más abajo, si alguien que recibe una foto por un chat secreto de Telegram con un tiempo de vida de unos segundos decidiera hacerle una captura, en ese caso se le notificaría al emisor de la foto que el destinatario ha hecho una captura.

Figura 4: Aviso de que "Chema" ha hecho una captura de una foto con autodestrucción

Esto, entre muchas personas es una forma de que el emisor sienta una "falsa" sensación de seguridad y privacidad al pensar que la otra persona es de su confianza y la foto sólo la ha visto unos segundos. Por supuesto, en las relaciones de sexting entre adolescentes y no tan adolescentes, este tipo de sistemas es de lo más usado pero... la verdad es que no da ninguna garantía.

Figura 5: Capturas hechas en una conversación de SnapChat

Como se puede ver en la imagen de arriba, eso sucede igualmente en SnapChat, donde tanto si tu haces el captura como si la hace la otra persona - en cualquier momento - el historial de los mensajes muestra que se ha hecho esa captura.

Grabar las fotos con autodestrucción de Telegram y SnapChat sin dejar aviso

Entre los menos avezados tecnológicamente la solución más sencilla es hacerle una foto al móvil mientras que se ve la fotografía, pero para hacerlo más cómodo existen otras soluciones. Yo hice la prueba con Reflector para OS X, un software que permite duplicar la pantalla de tu iPhone en el equipo personal de trabajo, con toda la calidad que necesites. 

Figura 6: Streaming de la pantalla de vídeo de un iPhone a OS X con Reflector

Este software cuesta unos pocos dólares y me habréis visto usarlo en muchas presentaciones. Para capturar una foto en OS X con Reflector solo necesitas duplicar la pantalla por AirPlay y listo, podrás capturar la pantalla desde tu sistema operativo utilizando todas las herramientas que necesites. Por supuesto, la resolución a la que verás la imagen será a la que se vea - en este caso - en la pantalla del iPhone, por lo que será tan grande como se vea en el propio Telegram - no más -. 

Figura 7: Foto con autodestrucción en chat secreto de Telegram capturada en OS X

Este mismo truco, lo puedes utilizar en sistemas operativos Windows Phone y Android utilizando herramientas similares y, por supuesto, al emisor de la fotografía nunca le va a llegar ninguna alerta, así que puede seguir teniendo la "falsa" sensación de seguridad de que nadie ha copiado sus fotos.

Figura 8: Foto con autodestrucción de SnapChat capturada en OS X

Como se puede ver arriba, esto también vale para Snapchat, donde aunque haya autodestrucción la foto se puede capturar desde la pantalla del equipo sin que llegue ningún aviso al emisor.

Grabar los vídeos con autodestrucción de Telegram y Snapchat sin dejar aviso

Por supuesto, una vez que tienes que conectado un iPhone a un sistema operativo usando Reflector, tienes un canal de streaming que da más Frames Per Second que una película normal, así que se puede grabar vídeo de la misma forma.

Figura 9: Configuración de Reflector para streaming de vídeo

El truco para hacer esta captura de vídeo es tener una herramienta que permita grabar la pantalla para mostrar lo que allí se ve. Existen herramientas profesionales, pero tal y como se puede ver en la imagen siguiente, con un sencillo QuickTime Player para OS X se puede grabar una parte de la pantalla.

Figura 10: Grabar el vídeo que se reproduce en pantalla.

En el siguiente vídeo tenéis un ejemplo de grabación de un vídeo normal, de un vídeo enviado por Telegram y de un vídeo secreto enviado por SnapChat.

Figura 11: Demostración de cómo se pueden grabar vídeos con QuickTime Player y Reflector de Telegram y SnapChat

En mi demo no me he preocupado por el audio, pero si quieres hacerlo aún más profesional, puedes usar un cable de audio que conecte la salida de tu smartphone a la entrada de tu equipo y grabar al mismo tiempo la pista de audio del vídeo para luego tener el montaje completo del vídeo.

Reflexión Final

La moraleja de todo esto es que una vez que el mensaje está enviado al destinatario, el dueño del endpoint podrá siempre manipular la aplicación o el entorno para poder llevarse las fotos o los vídeos que se envíen. De hecho, esto es por lo que existían las famosas aplicaciones que le permitían a una persona [¡dándole la cuenta de Snapchat a un servidor web!] grabar todas las fotos y que a la postre fueran todas públicas porque fue hackeado en el escándalo de The Snappening.

Figura 12: Información sobre "The Snappening" dada por SnapSaved.com

A día de hoy no tengo constancia de casos de sextorsión, Cyberbullying o grooming por medio de fotos con autodestrucción de Telegram o SnapChat, pero ten en cuenta que aunque la app no te diga que ha hecho una captura de pantalla o un screenshot, el destinatario ha podido grabar y conservar esa foto con total tranquilidad, así que más vale que te fíes muy mucho de la persona a la que le estás enviando esas fotos "Secretas".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Documental: Acoso en la sombra

Ayer el programa Crónicas emitió el documental "Acoso en la Sombra", dedicado al triste mundo de los depredadores por Internet que acosan la intimidad de las personas por Internet. Delitos como el grooming, el robo de identidad, el acoso o la pederastia se han volcado en la red, creando comunidades virtuales en Internet donde habitan algunas veces con el sentimiento de total impunidad.

Crónicas - Acoso en la sombra

• Crónicas - Acoso en la sombra

El programa trata temas de actualidad que creo que todo el mundo debería tener presente. En él participan víctimas y profesionales que analizan algunos casos reales. Creo que todos debéis ver el reportaje.

Saludos Malignos!

No Lusers 164 - Control Parental

En mi generación no fuimos todos los que aprendimos informática. De hecho, los que lo hicimos fuimos en este país un poco los pioneros. Esto ha llevado a que muchos de los de mi generación que no se toparon con la tecnología cuando eran jóvenes - y en la generación de los que son un poco mayores que yo - , se hayan ido encontrando con la tecnología a la fuerza a lo largo de su vida. El tiempo los ha convertido en a muchos de ellos hoy en día a padres puretillas que usan el "guasap" y el "feisbuk" como pueden, pero sin entender realmente lo cómo funcionan estas cosas.

El choque grande viene cuando esos padres, que son "lusercillos", se topan con hijos de 10 a 13 años que son nativos digitales y para los que chatear, interactuar en redes sociales y comunicarse por video conferencia es lo más habitual. En una de esas situaciones unos padres me pidieron ayuda, porque su hija de 12 años les estaba espiando el WhatsApp y el correo electrónico, para que les ayudara con una cosa que habían oído que se llama Control Parental y que les creían que les podía ayudar a controlar a su hija.

Tras una pequeña charla con su hija me di cuenta de que estaban a años luz de poder controlarla y que la único que podía hacer era tener yo una guerra por el control de la máquina con ella, pero nunca iba a ganar. Lo más que podría conseguir era que no usara nunca la máquina de sus padres, pero ella no se iba a dejar controlar y ya buscaría la forma de conectarse desde cualquier otra máquina o terminal smartphone a sus cosas, pero ya era tarde.

Al final les dije a sus padres que lo mejor sería que aprendieran junto a ella a manejase por Internet y tomaran medidas de protección personal para que su hija no se inmiscuyera en sus vidas. Después le di una pequeña charla a la chica para hacerla entender cómo funcionan los depredadores de Internet, sobre el Grooming, sobre los riegos de las cámaras web, etcétera, pero ella ya se lo sabía todo. Por supuesto estaba al día.

Así que, como moraleja, si no quieres ser controlado por tus futuros hijos nativos digitales, más te vale que te vayas poniendo las pilas bien en serio, sino puedes llegar tú mismo a sufrir los riesgos del Control Parental.

Saluods Malignos!

No te fíes de un extraño ni aunque lo veas por la webcam

El martes pasé por un instituto en el que tuve una audiencia muy especial: jóvenes de entre 12 y 15 años que, por supuesto, tienen contacto con Internet desde hace mucho, mucho, mucho tiempo. Entre las cosas que quería explicarles era que si no conoces a la otra persona con la que estás chateando puede que esa persona no sea quien dice que es. 

Fiarse de un nickname en el que ponga algo como marcos_17_BCN no garantiza que se llame realmente Marcos, ni que tenga 17 años, y por supuesto tampoco que sea de Barcelona. Un nickname no identifica a nadie. Esto es evidente para todo el mundo.

Fiarse de unas fotos que se envían para conocerse cómo son, tampoco identifica a ninguna persona.  Si te envían una foto, tal vez deberías buscarla en Internet no vaya a ser que sea una foto pública. 

Figura 1: Foto usadas en perfiles falsos

Si la foto no aparece, no tiene porque ser verdad. Las fotos de chicos y chicas robadas de equipos troyanizados con malware se comercializan en el mundo del e-crime y el fraude online para usarlas en suplantación de identidades.

Por último, fiarse de la webcam es para muchos determinante, pero resulta que tampoco te puedes fiar, ya que existen programas como ManyCam que te permiten configurar qué vídeos quieres mostrar por tu webcam en una sesión de chat.

Figura 2: ManyCam permite poner fotos, efectos y vídeos por la webcam

Es por ello que para conseguir un efecto convincente se realizan grabaciones mediante R.A.T.s usando la webcam sin que lo sepa la víctima, que luego se venden y utilizan para romper cualquier barrera de duda que tenga la víctima.

Una vez ganada la confianza de la víctima, los siguientes pasos son conseguir alguna foto o vídeo comprometido de la víctima, que caerá en un esquema de Grooming, que llevará desde la petición de más fotos o vídeos comprometedores para terminar en delitos de extorsión en los que se pide dinero a cambio de no publicarlas.

Por eso, ten cuidado y no te fíes de la gente que no conozcas en persona, y desconfía de extraños que conociste por Internet, desconfía, aunque los veas por la webcam.

Saludos Malignos!