Mostrando entradas con la etiqueta ciberterrorismo. Mostrar todas las entradas
Mostrando entradas con la etiqueta ciberterrorismo. Mostrar todas las entradas

jueves, marzo 24, 2022

La Unidad: Los drafts de e-mails para comunicación de terroristas

El pasado 18 de Marzo se estrenó la Temporada 2 de La Unidad, una serie que han hecho los compañeros de Movistar+ junto con Buendía Producciones, y donde los protagonistas son una unidad antiterrorista asentada en Madrid, pero con visión internacional. La primera temporada me encantó, así que desde que salió la segunda temporada la tenía apuntada para verla, y hoy quería comentar con vosotros un detalle en un capítulo que me encantó.

Figura 1: La Unidad: Los drafts de e-mails para comunicación de terroristas

Y es que en el capítulo tercero de la segunda temporada de La Unidad, hay un momento en el que un miembro del comando terrorista de dos que están actuando como lobos solitarios, decide comunicarse con la cabeza de la organización que está planeando la operación. En este momento se ve que abre un correo electrónico no convencional, llamado MailSOME.

Figura 2: Correo MAILSOME usado por el terrorista de La Unidad

No usan Gmail, Hotmail o ninguno otro conocido. Y en ese momento volvió a mi cabeza el manual con recomendaciones de seguridad para comandos de ISIS que publicó la revista Wired, donde explicaba qué medidas debían tomar los comandos para evitar ser detectados. 

Figura 3: Servicio ProtonMail recomendado en el manual de ISIS

Lo de utilizar un servicio de correo no convencional - y menos de una empresa tecnológica de USA - parece muy evidente para evitar cualquier espionaje que se produzca en virtud de lo que debería preocupar a un personaje como el que interpreta la actriz en ese momento, ya que cuando vimos las filtraciones de Edward Snowden parece que entre el Patriot Act y el programa PRISM, "podría ser" que accedieran a él

Figura 4: La lista de empresas tecnológicas sujetas a PRISM

Pero no solo importa el servidor, sino el trafico del mismo mediante los protocolos de comunicación entre diferentes servidores de correo electrónico, ya que el uso de SMTP con MTLS el no uso de firma digital, y las filtraciones donde se veía el program Muscular y cómo la NSA planteaba saltarse las protecciones de Google para acceder a los mensajes..

Figura 5: Explicación de Muscular de la NSA para espiar Gmail

Así que, para evitar que los servicios de seguridad - ya sean NSA - o los servicios de ciberinteligencia de otro país, que en el caso de la serie de La Unidad es España, el personaje que hace de terrorista decide utilizar un truco que es un viejo conocido en la época en que los terroristas se conectaban utilizando los famosos cibercafés, que no es nada más que utilizar un Draft.

Figura 6: En la pantalla de la terrorista de La Unidad
se puede ver que es un Draft

El mecanismo es sencillo, dos personas acceden a la misma cuenta de un WebMail utilizando las mismas credenciales, pero desde dos sitios distintos, y como el servidor va guardando en la carpeta de borradores el mensaje antes de ser enviado, se puede ir consultando ese mensaje de forma distribuida y ver lo que cada uno va agregando.

Figura 7: El draft se actualiza con lo que escribe
otro usuario del correo electrónico en remoto.

Esto, lo puedes probar tú de forma muy sencilla con dos ventanas de tu cliente de Gmail, por ejemplo, y escribiendo un correo electrónico nuevo que no envías nunca a nadie, en la otra pestaña, en la parte de Drafts tendrás una copia con las actualizaciones. Y puedes escribir en las dos ventanas, sobre el mismo correo, porque al final se sincroniza en las dos vistas del mismo documento en el servidor. 

Figura 8: Lo puedes probar tú en dos navegadores con Gmail

Supongo que para alguien que está viendo este capítulo en su casa, y ve esta escena, el resultado es simplemente "que se ha conectado con su jefe por Internet", pero mí, que conocía esta historia bien, me ha resultado un detalle de calidad que me ha gustado. Al final, esta serie toca un tema muy delicado, donde la tecnología ha sido y es clave, por lo que los detalles de cómo se usan las herramientas tecnológicas en la trama marca la diferencia de calidad. Por cierto, más que recomendada por mi parte la serie.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, agosto 29, 2020

Las criptodivisas y los delitos de financiación del terrorismo y el blanqueo de capitales

La semana pasada funcionarios de diferentes agencias gubernamentales estadounidenses (HSI, FBI y el RSI) incautaron los fondos de varios cientos de direcciones de criptomonedas como parte de una amplia campaña de captación de fondos destinada a la financiación del terrorismo. Los documentos judiciales establecieron redes de financiación operadas por grupos vinculados a al-Qaeda e ISIS, así como a las Brigadas al-Qassam.

Figura 1: Las criptodivisas y los delitos de financiación del terrorismo y el blanqueo de capitales

Dichas agencias han identificado casi trescientas direcciones de bitcoin como parte de una gran investigación contra tres redes de financiación del terrorismo. Representando la incautación de criptomonedas más grande jamás realizada por el gobierno en el contexto del terrorismo. Estas redes comprendían varias fuentes de financiación para la recaudación de fondos, que incluían el uso de campañas de captación de donaciones centradas en bitcoins y las ventas ilícitas de equipos de protección personal durante la pandemia de la COVID-19.

En el contexto de al-Qaeda, los fiscales alegaron en documentos judiciales que los grupos sirios Al-Nusrah Front y Hay'at Tahrir al-Sham usaron Telegram y las redes sociales como medio para la recaudación de fondos en bitcoin a partir de 2019.

Figura 2: Hamas acepta BitCoin desde 2019

En una acción judicial separada, los fiscales persiguieron a la red operada por al-Qassam, que involucró el uso de dos sitios web, así como cinco cuentas en una "institución financiera" anónima. Además, se identificaron "más de 180 cuentas de moneda virtual".Describiéndose un sistema de tres etapas que involucraba el uso de cuentas en doce casas de cambio, así como direcciones personales y páginas web. Por otro lado, la campaña relacionada con ISIS se centró en la venta fraudulenta de PPE, específicamente máscaras N95 supuestamente aprobadas por la FDA.


Estos casos muestran que los intermediarios financieros y la infraestructura que los grupos terroristas han utilizado tradicionalmente para mover dinero, como las empresas de envío de dinero sin licencia y las redes hawala, han comenzado a migrar hacia las criptomonedas, lo que ha hecho que todos los investigadores y analistas de ciberseguridad hayan tenido que aprender cómo funcionan estas tecnologías en detalle.

Algunos ya lo veníamos advirtiendo desde hace años, recuerdo la ponencia que tuve que el honor de impartir en el 1er Congreso internacional sobre ciudad, seguridad y terrorismo global que organiza el International SecurityObservatory, donde ya definía a las criptos como el Hawala 2.0 (además, así fue el título de la ponencia) y también recuerdo el libro que tuve el honor de coescribir en el año 16, con mi buen amigo el Doctor en Economía Basilio Ramirez, que ya titulábamos BITCOIN ¿AMENAZA U OPORTUNIDAD? (Toda una declaración de intenciones, ¿verdad?) 

Figura 4: BitCoin ¿Amenaza u oportunidad?

Tanto era así que la directiva 2018/843 del parlamento europeo y del consejo de 30 de mayo de 2018, trataba por fin, las criptomonedas como amenaza y como herramienta utilizada en algunos procesos de lavado de dinero Fiat. Dicha directiva está en un proceso muy avanzado de transposición a nuestra ley y su entrada en vigor en España será, probablemente, antes de final de este año.


Pero... ¿cómo se blanquea con las criptos? Déjenme les explique antes que es el blanqueo de capitales. En España parece consolidada terminológicamente una serie de conceptos respecto del blanqueo de capitales:
  • Se trata de un proceso.
  • Este proceso pretende convertir el dinero sucio, es decir, el procedente de negocios que constituyen un delito, o que no se pueden justificar ante las autoridades competentes, en dinero que se pueda justificar fiscalmente.
  • Se marca la tendencia de unificar el concepto del dinero no declarado a la Hacienda Pública con el obtenido ilegalmente. Es decir, que no declarar a la Hacienda Pública es un delito.
  • El proceso en sí mismo es un delito.
  • En el blanqueo de capitales ha de tenerse en cuenta tanto el dinero como los bienes obtenidos ilegalmente.
Podríamos decir en una primera aproximación, sin pretensiones jurídicas, que el blanqueo de capitales es el proceso a través del cual se trata de dar apariencia de legalidad o legitimidad a unos productos (dinero, divisas, fondos, activos, capitales, bienes, etcétera). Éstos habrían sido generados como consecuencia de una actividad ilegal o injustificada. Siendo la clave del proceso de blanqueo el eliminar el rastro entre dichos productos y la actividad ilegal. Para ello se realizarían múltiples actos o negocios jurídicos cuyo objetivo es complicar o borrar cualquier relación respecto de su origen verdadero. El proceso de blanqueo se compone de varias fases:

1.- Colocación: Momento en el que los fondos son introducidos en el sistema económico o financiero.

2.- Transformación: Conjunto de operaciones dirigidas a encubrir, ocultar o hacer desaparecer el nexo entre el activo y su fuente.

3.- Integración: Retorno del activo al patrimonio de quien lo generó con toda la apariencia de legalidad.

Los métodos de blanqueo son complejos y cambiantes. Factores como la deliberada complejidad de los procesos, la modificación frecuente de la naturaleza de los activos, o el cambio en su localización geográfica, suelen verse con frecuencia asociados a esquemas de blanqueo. La lucha contra el blanqueo de capitales se basa en dos mecanismos mutuamente complementarios:

1.- El sistema represivo o penal: Que configura al blanqueo de capitales como un delito tipificado en el Código Penal. Correspondiendo a los juzgados y tribunales su represión, con el auxilio de los cuerpos policiales.

2.- El sistema preventivo o administrativo: Éste intenta dificultar o impedir el acceso al sistema financiero. También al de otros sectores de actividad, de bienes o capitales de origen delictivo, mediante la imposición de una serie de obligaciones a determinadas personas o entidades que operan en dichos sectores. De manera que el incumplimiento de estas obligaciones constituye una infracción administrativa, castigada con sanciones de multa de elevado importe.

Vamos ahora con el ejemplo de blanqueo. Tan sencillo como ir a una gran superficie de alimentación francesa, de imagen y sonido o de video juegos y solicitar tarjetas de prepago canjeables por su equivalente en criptomoneda y, por otro lado, necesitaremos tener creada una wallet o cartera de Bitcoins (1era fase, colocación), que será la que utilicemos para llevar a cabo la conversión a criptomoneda.

Acto seguido procederemos a través de mezcladoras de bitcoin su ofuscación (eliminar toda la trazabilidad posible) (2nda fase, Transformación) para que posteriormente través de un Exchange o particular cambiar a dinero Fiat, cuyo destinatario final sea una sociedad o testaferro en otra jurisdicción mas laxa con este tipo de operaciones (3era fase, Integración)

El uso de las criptodivisas, como herramienta vehicular en los procesos de ciber blanqueo de dinero, va en aumento. De hecho, es uno de los esquemas “de moda” entre los terroristas y la delincuencia organizada. No solo por su opacidad si no por el desconocimiento de jueces y fiscales a la hora de su instrucción y posterior juicio. En ocasiones la policía judicial realiza unas diligencias extraordinarias que no prosperan por la falta de información del juez de turno. 

Figura 6: La prevención en el blanqueo de capitales

La formación e información al respecto de estos esquemas emergentes es vital, no solo para su lucha, si no para su correcta comprensión y entendimiento. Las criptomonedas en su concepción primigenia son una alternativa a tener muy en cuenta como un medio de pago de elección más. Su mal uso, tan solo es responsabilidad de quien utiliza este sistema de pago como herramienta para delinquir.


Contactar con Juan Carlos Galindo

jueves, diciembre 03, 2015

"Desenmascarar" cuentas de Twitter a través de Sinfonier

Cuando hablamos de que todo el mundo publica información personal nos viene a la cabeza Facebook o Twitter, estas dos redes tienen la facilidad de exponer nuestros puntos de vista u opiniones de manera muy rápida, pero también tiene un problema, que los usuarios que están detrás de estas cuentas algunas veces - sobre todo cuando tienen alguna actividad "peligrosa" - suelen ser bastante anónimos, falsean los datos o los tienen como privados para que solo un grupo de amigos restringido puedan verlos.

Figura 1: Cómo "desenmascarar" cuentas de Twitter a través de Sinfonier

¿Qué es lo que hemos intentado en Sinfonier? Relacionar varias redes sociales para comprobar si los datos facilitados son reales, crear vínculos entre las cuentas para después poder identificar al usuario a través de descuidos en cuentas relacionadas o ver si las relaciones con personas son iguales o distintas entre las diferentes redes sociales. Al final, con esta información se puede llegar a hacer el doxing de una persona, para acabar en a una cuenta que contenga asociado un número de teléfono o una dirección de correo electrónico atribuible a una identidad real, en lugar de una cuenta ficticia en una red social.

Para conseguir este objetivo vamos a utilizar otras redes sociales para lograr crear estas relaciones. Como fuente inicial de información utilizaremos el Spout de Twitter que tenemos disponible en Sinfonier, pero podríamos empezar por otra red social. En este caso se supone que se quiere sacar toda la información asociada a una cuenta de Twitter de la que no se sabe quién está detrás. En los Tweets que nos vaya devolviendo pueden aparecer enlaces a otras redes a través de las URLs publicadas, en este caso nos centraremos en dos: Youtube y Soundcloud.

Figura 2: Información de la API de Youtube

En primer lugar, ¿por qué YouTube? muy sencillo, te proporciona toda la información que tiene disponible y además con un número de peticiones a la API muy por encima de lo normal  - 50 millones de peticiones a día -. Además te permite también hacer búsquedas complejas de vídeos. Con todo esto, tenemos una mina de oro de información disponible. Si quieres monitorizar un canal concreto puedes hacerlo con los módulos (Spouts) que hemos creado son los siguientes:

Figura 3: Spouts para Youtube en Sinfonier

Estos dos módulos son de búsqueda y se diferencian en la cantidad de parámetros que se le introducen. Los valores de entrada son los siguientes. Para más información Developers Youtube:
query - El parámetro que especifica el término de consulta que se debe buscar.
type - channel | video | playlist
order - date | relevance | rating | title | videoCount | viewCount
apiKey - Nuestra apiKey
MaxResults - Hasta un máximo de 50 por página
frequency - Segundos entre cada petición
safeSearch - moderate | none | strict
publishedAfter - publicado despues de (YYYY-MM-DDTHH:MM:SSZ)
publishedBefore - publicado antes de (YYYY-MM-DDTHH:MM:SSZ)
videoDuration - any | long | medium | short
location - Define un área geográfica circular y también restringe la búsqueda a los vídeos que especifican, en sus metadatos, una ubicación geográfica que cae dentro de esa área. Ejemplo (37.42307=-122.08427)
locationRadius - El valor del parámetro debe ser un número de punto flotante, seguido de una unidad de medida. Unidades de medida válidos son m, km, pies, y mi. Por ejemplo 5km.
Por otro lado los siguientes módulos nos dan la capacidad de poder buscar todos los detalles relacionados con un canal o vídeo.

Figura 4: Bolts de extracción de información de YouTube en Sinfonier

Con estos módulos podemos crear las relaciones de las que hemos hablado anteriormente, a partir de un vídeo podemos ver quien lo ha subido o si tiene comentarios, a su vez este canal puede tener más vídeos, o podemos ver que resultados nos devuelve YouTube al hacer una búsqueda de vídeos relacionados, las posibilidades son enormes.

Pero, ¿cómo podemos saltar de uno a otro? Pues gracias a que en la respuesta que nos devuelve cada Bolt nos proporciona esa información. Esta sería la respuesta de YoutubeVideoInfo: Como vemos, tenemos el channelId con el que preguntar por la información usando el módulo de YoutubeChanneInfo.

Figura 5: Información extraída de Youtube

Y en este nos aparece otro identificador importante, con el cual vamos a dar el salto a otra red social, Google+.

Figura 6: Datos de la cuenta Google+

Ahora que tenemos el identificador, simplemente usamos el nuevo módulo para Google+ que recoge la información de un usuario y la podríamos contrastar con la encontrada anteriormente.

Figura 7: Bolts para Google+ en Sinfonier

La información que nos devuelve puede ser de lo más extensa, dependiendo de lo que el usuario haya dejado público o se haya olvidado de eliminar en la cuenta que ya no recordaba.

Figura 8: Información relativa a Blogger

Incluso en estos datos o en los recogidos por ejemplo en comentarios de YouTube podemos encontrarnos con enlaces a blogs de blogger. Para estos casos hemos preparado cinco módulos para extraer información. Con toda esta información nos podemos crear un mapa de entidades virtuales y relacionarlas.
Figura 9: Bolts para Blogger en Sinfonier

Otro caso interesante es el de SoundCloud, una red social donde lo que se comparte es música, y esta aparece también publicitada en tweets que hemos recogido anteriormente, por lo que podríamos buscar también información en otra red social a partir de esos elementos de enlace que nos aparecen en las URL de tweets al igual que en YouTube.

Para esta red social tenemos un par de módulos que nos darán la información que contenga la canción que se ha publicitado y la de usuario que la sube, más información en developers SoundCloud.

Figura 10: Módulos para SoundCloud en Sinfonier

Y como podemos ver la cantidad de información que generamos y lo conectada que está, pudiendo crear un modelo para una o un grupo de personas con parámetros similares. En la siguiente imagen vemos a modo de ejemplo la información a partir de un tweet.

Figura 11: Mapa de relaciones sociales creado a partir de una cuenta de Twitter

Como podéis ver la información es mucha y muy variada. Además, si esto lo automatizamos podemos lograr muchos más perfiles y además relacionados y centrarlos en una temática, dependiendo de la fuente de información inicial, todo ello en Tiempo Real.

Figura 12: Dashboard de vigilancia de actividad en redes sociales creado con Sinfonier

El gráfico anterior es un ejemplo de la salida de todo esto sobre un dashboard que creamos para el último MeetUP de Sinfonier sobre Ciberterrorismo. Con él hemos creado un mapa de relaciones de redes sociales al que podríamos sumar la información de la geolocalización de los tweets, la información de los metadatos de las imágenes vinculadas, o lo que se quisiera. Toda la información sería útil para intentar descubrir quién está detrás de una determinada cuenta de Twitter o quiénes son sus contactos. Detrás está corriendo una topología similar a la siguiente:

Figura 13: Topología de Sinfonier para la creación de este Dashboard

Como hemos dicho, este trabajo lo presentamos @pejema44 y @Macario8 y esperamos que os guste y podáis sugerirnos nuevas ideas para implementar o redes sociales de las que extraer y relacionar información. Recordad que ahora tenéis activo un concurso en el Sinfonier Community Contest por el que podéis ganar 3.000 USD por vuestra topología de ciberseguridad o por vuestro Bolt. En la Comunidad de Eleven Paths tenéis toda la información disponible sobre el concurso y además podréis preguntar y aportar en la sección dedicada a Sinfonier donde esperamos que puedas resolver tus dudas con el uso de esta tecnología. Por supuesto, lo mejor es que te leas el libro de Sinfonier para la generación de ciberinteligencia de seguridad.

Autor: Miguel Hernández Boza

miércoles, diciembre 02, 2015

Evident X-Stream: Deep Packet Inspection en España

Estos días se ha armado un poco de revuelo por culpa de la aparición de información relativa a un nuevo sistema de análisis de información capturada en la red llamado Evident X-Stream. De este sistema poco se sabe aún más que la información que se ha publicado en algunos medios que dicen tener acceso a los documentos que describen el proyecto que parece ser que está desarrollado BEA Systems, pero que no deja de ser una consola de análisis de evidencias capturadas por la red.

Figura 1: Evident X-Stream - DPI en España

Como se puede ver en el gráfico, el sistema podría ser similar al archifamoso X-KeyScore que utiliza(ba) la NSA para almacenar y procesar todas las evidencias de información capturadas en la red para la generación de inteligencia en investigaciones de delitos en la red. Es decir, algo similar al SITEL que existe para la interceptación legal de las telecomunicaciones, pero centrado en los contenidos transmitidos por la red de datos.


Figura 2: Esquema de funcionamiento de Evident X-Stream

Al final, el soporte se basa en capturar evidencias en el los puntos de conexión a la red, en este caso en los ISP, y aplicar sistemas de Deep Packet Inspection para capturar el tráfico, recomponerlo como hacen los sniffers de red y generar objetos entendibles a alto nivel, como correos electrónicos, mensajes de datos, ficheros transmitidos por la red, etcétera. 

Figura 3: Detalle del sistema X-KeyScore para investigar e-mails

Por supuesto, a día de hoy esto no está cubierto por la legalidad de nuestro país, así que habrá que ver si se puede llegar a aplicar o no. Las noticias especulan que el Ministerio de Interior querrá ponerlo en marcha para el año 2017 en España, y aplicarlo en casos de seguridad nacional o ciberterrorismo, aunque para ello se deben dar aún muchos pasos. Con sistemas como estos, posiblemente se podrían atacar muchos de los sistemas de comunicación usadas por grupos terroristas.

El debate Político y Social

Al final, los sistemas de cifrado extremo a extremo, los canales de comunicación encubiertos basados en sistemas infrecuentes, el so de técnicas como la esteganografía o los canales paralelos de telecomunicaciones siempre dificultarán el 100% de la inspección, pero lo más importante de todo seguirá siendo el debate social, político y legal.

Ahora, con la sensibilidad alta por los atentados de París, probablemente muchas más personas están dispuestas a mover el dial de la privacidad un poco más cerca del de la seguridad, para defender otros derechos como el derecho a la vida a cambio de pagar un poco con el derecho a la privacidad. Lo importante del debate es decidir si queremos que se puedan investigar los delitos en Internet o no. Si estamos dispuestos a que alguien, con la supervisión de la justicia, pueda abrir nuestros correos electrónicos al igual que se abren las maletas en los aeropuertos o no. Si queremos que nos pasen un escáner a nuestros archivos al igual que nos pasan el escáner 3D en las fronteras.

Saludos Malignos!

domingo, noviembre 29, 2015

Informe Semanal: "La amenaza yihadista"

El jueves pasado, mientras estaba dando una conferencia en el Google Campus con la gente de MasterCard, aprovecharon para entrevistarme para un programa de Informe Semanal que se estaba grabando y que iba a tratar el asunto de la tragedia de París y la reacción de Anonymous contra ISIS. El tema sobre el que versó mi entrevista ya lo conocéis, son los dos artículos que he escrito sobre el tema: "Anonymous vs ISIS: No se puede matar una idea con hacking" y "Las recomendaciones de seguridad del ISIS no son para paranoicos de la privacidad".

Figura 1: Informe Semanal. La amenaza yihadista

El programa salió en antena ayer por la noche, y ya está disponible en la web de RTVE, así que os lo dejo aquí por si alguno se lo perdió y le apetece verlo, que la periodista es de gran calidad y conoce en profundidad todo este conflicto.



Saludos Malignos!

viernes, noviembre 20, 2015

Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad #OpISIS #OpParis

La revista Wired ha publicado una guía de 34 páginas en las que recoge la información de seguridad que se está a dando a los miembros de ISIS para estar más seguros en Internet. Es una lista de recomendaciones a la hora de utilizar los servicios de comunicaciones y las redes sociales para estar más seguros y ser más difícil de ser investigados por las fuerzas y cuerpos de seguridad del estado. Hay algunos detalles curiosos, pero tras ver la guía mi opinión es que es una guía asequible de implementar, pero lejos de ser unos paranoicos en seguridad. Los temas que tocan están bien, pero faltan muchas más cosas que deberían tenerse en cuenta para tener el punto de paranoia de seguridad que recomendaba Edward Snowden para evitar el espionaje. Os dejo un pequeño resumen.

Figura 1: Las recomendaciones de seguridad en Internet de ISIS
no son para paranoicos de la privacidad

El primer de los detalles interesantes es la recomendación de utilizar Twitter con un segundo factor de autenticación basado en la app oficial de Twitter instalada en el teléfono. De hecho, hacen especial hincapié en que se debe controlar la cuenta de correo electrónico asociado además del terminal para evitar cualquier robo de cuenta.

Figura 2: Recomendación sobre Twiter y 2FA

Sin embargo, viendo la cantidad de información que recolecta Twitter de una cuenta instalada en un terminal móvil no sé si parece la forma más segura utilizar Twitter para no ser localizado. De hecho, hablan incluso de activar la publicación de tweets vía mensajes SMS, lo que aún daría más información aún.

Figura 3: Cuidado con Metadatos y manipulación de GPS

Para las fotografías que se publican, vistos todos los incidentes en el pasado con los metadatos, recomiendan deshabilitar la información GPS de localización y, lo que es mejor aún, falsificar esta información mediante alguna app que manipule los metadatos EXIF para engañar a cualquiera que los esté utilizando.

Figura 4: Sobre el servicio VPN de Freedome

Para navegar por Internet, recomiendan utilizar Tor, como ya se suponía, pero además también recomiendan utilizar servicios VPN concretos, como Freedome, para evitar que sus comunicaciones en redes WiFi sean interceptadas y además ocultar la dirección IP de origen. 

Figura 5: Servicio ProtonMail recomendado

La lista de recomendaciones en cuanto a servicios de correo también es larga y se apunta al uso del ya conocido ProtonMail para evitar la inspección de los mensajes de correos, aunque también se habla de otros proveedores e incluso de métodos de uso de los mismos. Sistemas de correo como Gmail cuenta con filtros automatizados de correos en transito. También se referencia a Mega para el envío de archivos pesados, evitando servicios como OneDrive o similares que también se sabe que tienen capacidades de inspección del contenido.

Figura 6: Recomendación del uso de iMessages

En el uso de los sistemas de mensajería, la lista de plataformas es altísima. Wickr, Signal, Telegram, PQChat, etc... Son muchos los sistemas de mensajes que a día de hoy ofrecen capacidades de cifrado end-to-end. Lo curioso, y es lo que centra el debate en Estados Unidos hoy en día es que iMessage, a pesar de que unos hackers demostraron que si Apple quisiera podría interceptar estos mensajes, se recomienda su uso.

Figura 7: PoC de monitorización de horas de uso de Telegram



Figura 8: Demostración de cómo Apple podría interceptar iMessages

En el caso de iMessage, además, no solo se podría hacer la interceptación por medio de una manipulación de las claves tal y como demostraron los investigadores, sino algo mucho más sencillo aprovechando las capacidades de iMessage de enviar los mensajes a todos los dispositivos vinculados. Bastaría con que se vinculara un nuevo dispositivo a la cuenta de iMessage a investigar, anulando el aviso del mismo, algo que Apple se ha negado a hacer por el momento. En esa misma línea, en el manual también se apunta al uso de FaceTime para los sistemas de llamadas de voz y vídeo conferencia.

Figura 9: Recomendación de uso de FaceTime

La lista de herramientas es grande, y también en el area de cifrado de almacenamiento, tanto del terminal de teléfono donde se recomienda usar Criptophone o BlackPhone, como en el almacenamiento de pendrives o discos duros de equipos, donde se recomienda usar TrueCrypt o VeraCrypt, entre otros.

Figura 10: Descripción del programa PRISM de la NSA

Vistas las recomendaciones, parecen recomendaciones hechas por gente que conoce bien las herramientas de seguridad y los posibles ataques, pero sin llegar a caer en un modelo hiper-paranoico, porque como se ve, se apunta al uso de sistemas Apple - a pesar de que salieron en la foto de los documentos filtrados de Edward Snowden de la NSA -, confían en ciertas empresas como F-Secure y su Freedome - aun sabiendo que un servicio VPN de terceros es un man in the middle como un servidor proxy - , en software como TrueCrypt, del que se especuló largo tiempo con que tuviera puertas traseras, en la red TOR - a pesar de todos los hacks que se han hecho sobre ella - y se confía en el uso de SMSs y dispositivos móviles generalistas como Android o iPhone - de los que se conocen muchas formas de hackeo -

Saludos Malignos!

sábado, enero 10, 2015

¿Fueron descuidados los ciberatacantes de SONY con su dirección IP?

Cuando escuché al presidente Barack Obama utilizar el término de "Respuesta Proporcionada" me llamó mucho la atención. Una de las grandes ventajas que tiene el uso de ciberataques entre países es que puedes negar que has sido tú. Así, muchos de los incidentes que conocemos de la historia reciente no han sido reconocidos, pese a que incluso los periódicos de más prestigio hayan dado detalles hasta la saciedad de cómo se hizo todo. Es el problema de la atribución del que tanto se habla en el mundo de la Ciberguerra, y que llevó a que la OTAN trabajase el aquel informe Tallin en el que se decía que en caso de ciberguerra, los hackers podrían ser considerados objetivos militares.

Figura 1: ¿Estuvo Corea del Norte detrás del ataque a SONY?

En el caso del ataque a SONY - del que yo os dejé ya mi opinión en el artículo "Los Guardianes de la Paz, el ataque a Sony, Batman y el gran Joker" - el presidente utilizó el termino de Respuesta Proporcionada, lo que implica que tenían totalmente clara la atribución del acto, o bien porque había sido reclamado por los ejecutores del mismo o bien porque tenían pruebas irrefutables de quién estaba detrás. Lo cierto es que luego salió un informe que ponía en duda la atribución, algo que sería un error garrafal por parte de un país como USA.

Figura 2: El FBI dice que los atacantes fueron descuidados con su dirección IP

Ahora, el director del FBI, ante las dudas acaecidas en la opinión pública en cuanto a la atribución del ataque, explica en la revista Wired que los atacantes utilizaron servidores Proxy para ocultar su dirección IP, pero que en algunos momentos fueron "descuidados" y dejaron registrada su verdadera dirección IP, utilizada solo desde Corea del Norte.

Figura 3: No Lusers 174 "Las ciberamas del ataque a SONY"

En cualquier caso, mi reflexión sobre esto es que si un Ciberejercito es tan descuidado como para dejar su dirección IP entonces no son tan malos y poderosos técnicamente como querían hacer creer en principio, y si lo son, entonces tal vez esa dirección IP no sea la correcta. Yo, como esto tiene tintes divertidos, he hecho mi propia interpretación de cómo se fraguó el ataque con uno de mis No Lusers, donde he metido a nuestro querido NetBUS.

Saludos Malignos!

jueves, octubre 24, 2013

Remote Heartbreak Attack: El ex vice-presidente se protege

En el año 2008 en un paper titulado "Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses" se especulaba sobre los riesgos de dotar a los marcapasos o los desfibriladores cardiacos implantados de características de conexión inalámbricas, ante la posibilidad de que un atacante interceptase y manipulase el protocolo para detener el sistema, obtener los datos, o lo que sería peor, enviar ordenes que pudieran ser mortales para el anfitrión del dispositivo.

Figura 1: Paper que describe en 2008 los ataques a Pacemakers & ICD

En la popular serie Homeland, en el capítulo 10 de la segunda temporada titulado "Broken Hearts" el ataque terrorista al vice-presidente de los Estados Unidos se hacía mediante un marcapasos que era manipulado remotamente mediante una conexión inalámbrica.

Figura 2: Temporada 2 de Homeland

El desaparecido Barnaby Jack, trabajando en iOActive, escribió en Febrero de este año un post en el blog en el que comentaba el paper citado y el capítulo de Homeland, viendo cuán de plausible era ese ataque a día de hoy en los dispositivos actuales. En el artículo se dicen cosas como:
"At IOActive, I've been spending the majority of my time researching RF-based implants. We have created software for research purposes that will wirelessly scan for new model ICDs and pacemakers without the need for a serial or model number. The software then allows one to rewrite the firmware on the devices, modify settings and parameters, and in the case of ICDs, deliver high-voltage shocks remotely."
Todo el trabajo que había hecho Barnaby Jack en esta industria iba a ser publicado en la pasada BlackHat USA, pero apareció muerto y fue un shock para todos. La charla no se dio y no se le sustituyo en la agenda, creándose un homenaje en la sala que le correspondía durante su slot de tiempo.

Figura 3: Barnaby Jack con el software y las herramientas para hacer ataques a ICDs

No había información sobre las causas de su muerte, pero se había dicho que en el plazo de un mes se darían más datos. Pero no fue así. A día de hoy en el artículo de la Wikipedia dedicado a Barnaby Jack puede leerse referente a su muerte lo siguiente:
"The coroner's office refuses to release information about the cause of death, which is one more reason to assume Barnaby Jack was murdered."
Esta semana, la noticia ha sido que el ex vice-presidente Dick Cheney que tenía uno de estos ICDs ha decidido quitarle todas las opciones de conexión remota por seguridad, ya que parecía una mala idea que alguien como él pudiera ser atacado remotamente.

Figura 4: El ex vice-presidente Dick Cheney ha tomado medidas con su ICD

La realidad acaba superando a la ficción, y lo que a veces puede parecer la trama de una película o serie de acción, puede acabar siendo una más de las variables cotidianas de nuestras vidas. Sea como fuera, ver este tipo de cosas tienen que hacer que mucha gente se preocupe sobre a dónde vamos a llegar al final si alguien puede matar a otra persona solo por un fallo de seguridad en la conexión WiFi de un dispositivo médico o un vehículo.

Saludos Malignos!

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares