Mostrando entradas con la etiqueta hacktivismo. Mostrar todas las entradas
Mostrando entradas con la etiqueta hacktivismo. Mostrar todas las entradas

domingo, enero 17, 2021

Jinetes en la Tormenta: ¡Qué difícil es escribir "Thrillers" sin hackers y black hackers!

¿Te habías dado cuenta de que hoy en día cualquier "thriller" que se precie debe contar con la presencia de un hacker? Creo que es un asunto que merece una reflexión para encontrar una explicación al fenómeno. Permíteme ponerte en antecedentes e intentaré dar con la respuesta. Aunque el "thriller", suspense, suspenso o, sencillamente, la intriga, es un género muy vinculado a la novela negra, los puristas los distinguen estableciendo una serie de elementos que consideran exclusivos del género negro (no entraré en detalles para no alargarme innecesariamente, ya que no es el objetivo de este artículo). En los últimos años la línea que los separa se va haciendo cada vez más fina, provocando que en muchas ocasiones un género se superponga al otro y cada vez estén más relacionados, más fusionados.

Figura 1: Jinetes en la Tormenta: ¡Qué difícil es escribir "Thrillers" sin hackers y black hackers!

¿Pero por qué esa obsesión con los hackers? Desde el punto de vista del creador, escritor, guionista o, simplemente espectador, los mundos oscuros, ocultos al resto de la sociedad, se convierten en irresistibles. Todo lo que no conocemos nos despierta temor, y no hay nada más literario que la combinación de miedo y misterio.

Antes de que llegarán los hackers

Durante el Siglo XIX el interés en el espiritismo y las ciencias ocultas nos trajo las grandes obras de la literatura gótica y de terror (Drácula, Frankenstein y muchas más). La explosión de la novela negra americana, con autores como Raymond Chandler o Dashiell Hammett, nos proporcionó el estereotipo del detective privado que huele a whisky, sabe a tabaco y se mueve como pez en el agua en los bajos fondos de las ciudades norteamericanas.

A partir de los años 40 del año pasado, la Guerra Fría entre norteamericanos y soviéticos propició la aparición de los grandes espías del thriller, capaces de internarse en solitario en lo más profundo del territorio enemigo. Autores como el recientemente fallecido John Le Carré o el ex espía británico Ian Fleming, padre de James Bond, son una buena muestra de ello. La Guerra Fría también nos trajo la carrera espacial y el surgimiento de la amenaza extraterrestre o el fenómeno OVNI. La literatura, el cine o la incipiente consolidación de la televisión como medio de masas nos dejaron joyas como Star Trek y en último término, La Guerra de las Galaxias de George Lucas (así es como los viejunos nos referimos a Star Wars).

Los últimos años del Siglo XX vieron aparecer psicópatas capaces de merendarse a sus vecinos o acabar con medio barrio sólo por placer, así como sectas secretas con extraños rituales en los que participan los amos del mundo. ¿Qué tienen todos estos perfiles en común? Que se trata de historias en las que los héroes son capaces de zambullirse en lo más recóndito de los temores y las angustias que nos preocupan a las personas normales. Y aquí es donde aparece el "Hacker" y el "Black Hacker" como símbolo del miedo en nuestro tiempo, por ser desconocido lo que hace o puede hacer. 

Llegan los Hackers y los Black Hackers

La irrupción de Internet y el desarrollo de las comunicaciones suponen una nueva era para la Humanidad. El teléfono ha dejado de ser un aparato con el que llamar para convertirse en el complemento más importante de nuestras vidas, por encima de la cartera y las llaves de casa. Nuestra necesidad de conexión ha alcanzado límites inimaginables hace sólo unos años. Y si no me crees, apaga el router durante 30 minutos e intenta trabajar con el ordenador. Nos conectamos con la misma naturalidad con la que respiramos. ¿Y cuál es nuestro principal miedo? Efectivamente. Que alguien se cuele en nuestro móvil o nuestro portátil.

Figura 2: Novela Thriller "Jinetes en la Tormenta" de JM Ferri

La imagen asociada al Black hacker en el imaginario colectivo nos presenta a un tipo antisocial, encerrado en un cuarto oscuro mientras idea mil formas de suplantar nuestra identidad, de acceder a nuestras cuentas bancarias, de robar y enviar fotografías incómodas a nuestros allegados. El perfil ideal del criminal del Siglo XXI: Ese Black Hacker convertido en ciberextorsionador ¿Cómo no va a resultar interesante para un escritor?

Pues echémosle un poco más de picante: las noticias nos dicen que las multinacionales y los servicios de espionaje nos controlan gracias a nuestros teléfonos móviles y que monitorizan nuestra actividad en redes sociales. Así que perfecto, también tenemos "hackers" como ciberespías en las tramas de espionaje y/o conspiranoicas.

El toque final nos lo da la Deep Web. Podría llamarse el contenido no indexado, pero no, se llama Deep Web, que mola mucho, porque si la red se convierte en profunda, llama más la atención. Pero resulta que en las profundidades también hay un rincón que es oscuro (Darknet), en el que se cometen toda clase de delitos y fraudes con una criptomoneda como el BitCoin tan atrayente: un terreno de juego irresistible para cualquier trama en el que contar con un Black Hacker convertido en cibercriminal.

Figura 3: El Thriller de Hacker Épico de Alejandro Ramos y Rodrigo Yepes.
Más de 2.000 copias. 2 premios. Adaptación en cómic deluxe por Eve Mae.

Y como tenemos al criminal, tenemos los resortes más oscuros del poder y el campo de batalla ideal, sólo necesitamos a los héroes que sean capaces de entrar en este mundo virtual para defendernos de semejante catálogo de peligros. ¿Se te ocurre un escenario mejor que este? Si lo tienes, por favor, dímelo para mi próxima novela.

Los no iniciados, como el que escribe, nos aproximamos al mundo del hacking y los hackers con una mezcla de curiosidad, fascinación y temor: curiosidad, por los motivos expuestos en los párrafos anteriores; fascinación, por descubrir un mundo oculto y prohibido; temor, porque cuando nos ponemos a experimentar no tenemos ni idea de lo que estamos haciendo.

Así que el sufrido autor de thriller, que ya ha tenido que aprender (o al menos debería haberlo hecho) el funcionamiento de los cuerpos policiales y procedimientos judiciales, se ve en la obligación de aprender acerca del hacking. Porque si hay criminales hay cibercriminales, hay black hackers y hackers luchando contra ellos. Si hay terroristas, ciberterroristas o hacktivistas también hay hackers. Si hay espías, hay ciberespias y hackers. Y si quiere escribir cualquier thriller que esté ubicado temporalmente dentro de los últimos 25 años, tiene que haber un White y/o Black Hacker. Y es que si hay un Black Hacker, necesariamente tiene que aparecer su némesis, es decir, un hacker.

¿Y cómo se aprende esto del hacking? Bueno, tranquilo que no vas a tener que estudiar la carrera de Informática para ello. Recuerda que esto va de aprender cómo funciona, no de dedicarse a ello profesionalmente. Bien, en primer lugar, hay multitud de documentales, reportajes y tutoriales disponibles en la web. Pero ojo, que te va a tocar separar el grano de la paja, como en cualquier labor de documentación.

Figura 4: Sinopsis de Jinetes en la Tormenta de JM Ferri

A mí, para escribir mi novela "Jinetes en la Tormentame ha venido muy bien localizar las conferencias de un tal Chema Alonso. Si estás en esta web, probablemente el nombre te sonará de algo. De Chema hay mucho material tanto en Youtube como en podcast. Para mí la segunda opción es la más práctica, ya que lo enchufo y voy aprendiendo mientras pongo la lavadora, cargo el lavavajillas o me doy una ducha. Aunque no es el mejor momento para las conferencias, ten en cuenta de que cada vez hay más webinars en los que muchos expertos hablan sobre el tema (y a los que cada vez acudimos más escritores). 


Por último, también contamos con publicaciones especializadas en las que aprender las bases. De libros, te recomiendo la editorial 0xWord (también la conocerás si sueles pasarte por esta página) donde además puedes consultar dudas a sus autores a través de MyPublicInbox, y donde además de manuales súper técnicos, también puedes encontrar novelas de hackers en 0xWord Pocket como Hacker Épico, Got Root, A Hack for the Destiny o Cluster y material para “dummies”. El mejor ejemplo es su libro Crime Investigation: Historias de Investigación Forense de Felipe Colorado, pero tienen muchos más. Espero que el artículo te haya gustado y que te sirva para escribir thrillers súper adictivos.

¡Un abrazo!

Autor: JM Ferri  es un especialista en comercio internacional reconvertido en escritor de novela negra y suspense. Su primera novela, Jinetes en la Tormenta, es una combinación de estos géneros con una trama que implica a policías, espías y hackers.

miércoles, diciembre 20, 2017

La RAE añade una acepción positiva al término "Hacker". ¡Gracias @RAEInforma!

En el año 2014 entró el término Hacker en el Diccionario de la Real Academia de la Lengua con una acepción muy negativa de "Pirata Informático". Con la recogida de este significado el término tenía una connotación 100% negativo en todos los textos en los que aparecía, cuando no es ni mucho menos eso lo que sucede con el término.

Figura 1: La RAE añade una acepción positiva al término "Hacker". ¡Gracias RAE!

La misión de la Real Academia de la Lengua no es tanto regular cómo deben utilizarse los términos sino recoger cómo se utilizan, y es verdad que hay mucha gente que solo tenía en la mente ese significado negativo del término "hacker", pero en el uso que le damos la gran mayoría de los que vivimos de manera cercana a la tecnología, eso no es así.

Figura 2: Única acepción del término hacker hasta la la última actualización del DRAE

Es por eso que abrí incluso una petición por medio de Change.org para que cambiaran el significado del término Hacker. Algo que muchos hemos seguido pidiendo en foros, textos, artículos, entrevistas, conferencias, etcétera.

Figura 3: Petición que abrí en Change.org para cambiar la definición del término hacker

Pues bien, ahora parece que en la última actualización de 2017, el término hacker tiene una segunda acepción, mucho más positiva, y mucho más cercana a lo que significa para nosotros. Según la RAE, un hacker es también:
Dicho esto, creo que debemos seguir intentando que los medios de comunicación no utilicen nunca el término hacker en un contexto peyorativo o negativo, y que utilicen el de cibercriminal, cracker o similares para que el termino solo tenga acepciones positivas. Aún así, gracias RAE por la actualización, ahora ya no soy un phoskito, soy un tigretón.

Saludos Malignos!

sábado, marzo 25, 2017

Hay otro Internet en las Wireless Meshnets: De Hyperboria a Freifunk pasando por B.A.T.M.A.N. o MeshBerry

Muchas veces, cuando se habla de la Deep Web se tiende a pensar que esta es lo mismo que TOR, y ni mucho menos es así. La Deep Web es un concepto mucho más genérico que habla de aquellos contenidos que no se encuentran accesibles por los canales de flujo masivo de conexiones, como son los buscadores como Google, Bing, o los grandes centros de compartición de información, como son Facebook, Twitter, Youtube, etcétera.

Figura 1: Hay otro Internet en las Wireless Meshnets

El concepto de Deep Web viene de un artículo publicado en el año 2001 en el que se ahonda en la dificultad de localizar aquel contenido que está fuera de los sistemas masivos de indexación, catalogación y búsqueda. Desde páginas web que quedan en el índice secundario de Google, hasta contenido que se encuentra almacenado en redes que necesitan de software especial de conexión, o lugares en los que son necesarias credenciales de acceso.

Figura 2: Artículo del año 2001 que introduce el concepto de Deep Web

En esta catalogación, por supuesto, entra la red TOR, las redes FreeNet o I2P, pero también una gran cantidad de redes P2P - donde yo ideé mi Dust-RSS, redes serverlesss como ISIS & OSIRIS, o la cada vez más popular red CJDNS y su famosa Hyperboria.


Figura 3: Charla en RootedCON 2011 sobre DUST-RSS

A lo largo de este tiempo, las comunidades han seguido desarrollando ideas para crear redes propias, fuera de los canales tradicionales, con diferentes arquitecturas descentralizadas, tal y como funciona TOR o CJDNS. En el año 2014, en las famosas conferencias HOPE (Hackers On Planet Earth) de New York, se impartió una charla sobre cómo estas redes podían hacerse a nivel local con la proliferación y abaratamiento de conexiones Wireless.

Figura 4: Wireless Meshnets

En esa charla se habló del proyecto NYC Mesh, una red comunitaria en la ciudad de New York para conectarse sin necesidad de contar con una infraestructura concreta. Dicha red se crea con la unión de nuevos nodos a la misma que configuran protocolos especiales de encaminamiento que permiten la conexión entre ellos de manera dinámica. Para ello, utilizan una distribución con todo lo necesario para conectarse en una distribución de Raspberry Pi a la que llaman Meshberry.
Uno de estos tipos de redes comunitarias, descentralizadas, y disponibles para cualquiera que quiera ser parte de ella, es Freifunk, muy popular en Alemania y que se basa en el protocolo de enrutamiento B.A.T.M.A.N. (Better Approach To Mobile Ad-hoc Networking), que resuelve el problema de envío de los paquetes en una red cambiante, descentralizada y móvil en la capa 2.

Figura 6: Vídeo que explica el concepto de las redes Freifunk

Llegué a esta red por casualidad, revisando unos mapas que mi amigo rootkit me había enviado, donde se puede ver de forma abierta todo lo que está pasando en cada una de estas redes Freifunk desplegadas por las diferentes regiones de Alemania.
No es que me guste especialmente, pensando en la privacidad, que se puedan ver las conexiones con direcciones MAC de muchos de los equipos que están haciendo uso de ella desde una web, pero supongo que los que utilizan estas redes ya deben saber cambiar la dirección MAC, además de otras medidas de privacidad.
Lo bueno de utilizar una red como Freifunk, es que también te puedes conectar a Internet, lo que permite que, por ejemplo desde una conexión a la red Freifunk hagas uso de una conexión a la red TOR para contar con una capa extra de anonimato.

Al margen del uso que le quiera dar cada uno a este tipo de redes, desde el punto de vista técnico, es precioso ver cómo se siguen creando nuevas tecnologías día a día, y se consiguen proyectos de gran utilidad para muchas personas a base del esfuerzo y el conocimiento de unos pocos. Hay otro Internet fuera del mainstream.

Saludos Malignos!

jueves, abril 07, 2016

Intentan envenenar agua de un planta depuradora en UK

Los ataques a los sistemas SCADA utilizados en el control industrial es algo que puede tener consecuencias graves si no se han hecho los deberes de seguridad adecuados. Los sistemas industriales utilizados en estos entornos están formados por una buena cantidad de componentes de distintos fabricantes, PLCs, protocolos especiales y sistemas que a veces pasan muchos años antes de ser cambiados - o tan siquiera actualizados -. Y por supuesto, tienen vulnerabilidades que aparecen en sistemas PLCs [PLCs exponen passwords, PLCs vulnerables a Brute-Force]  en el equipamiento utilizado en la construcción del sistema y en el software que se haya desarrollado a medida para dicha plataforma.

Figura 1: Intentan envenenar el agua en una planta depuradora en UK

Es un ecosistema complejo del que hay que preocuparse con cariño. Nuestro compañero en Eleven Paths Claudio Caracciolo (@holosec) conoce a la perfección estos entornos por su experiencia trabajando con ellos,  y nos explicó en detalle cómo funciona en la charla que impartió dentro de las Eleven Paths Talks y que puedes ver online ya.


Figura 2: Comprendiendo la seguridad en sistemas industriales

Dicho esto, hoy quería centrarme en un caso explicado en el último informe Data Brech Digest publicado por Verizon, en el que cuentan cómo fue la investigación para descubrir el ataque que se había producido a un planta depuradora de agua de un distrito en Reino Unido. Los equipos de gestión del funcionamiento de la planta depuradora se dieron cuenta de que algo había pasado cuando saltaron las alarmas de control que vigilan que nada vaya mal en la planta al detectarse que la mezcla de componentes químicos que se estaba usando podría dañar la salud de las personas que la bebieran.

Figura 3: Intento de configurar agua "no potable" variando los compuestos químos

Esto sucede porque los sistemas SCADA se crearon para ayudar a los ingenieros a tomar las decisiones de seguridad más adecuadas, pero además del sistema informatizado y automatizados existen controles que verifican que ningún fallo provoque una situación no deseada, como la de que el agua que se entrega a los usuarios sea de mala calidad y nociva para su salud.

Errores en la gestión de la seguridad de la planta depuradora

Tras la investigación realizada por el Equipo de Respuesta ante Incidentes, la explicación resulto ser la acumulación de una serie de BASICS de seguridad no realizados por la empresa que gestiona el IT de la planta de seguridad y que os paso a resumir a continuación.

1) Arquitectura no segmentada de la red
La empresa cuenta con una aplicación web/mobile a la que los clientes se pueden conectar para la gestión de sus cuentas y sus pagos. Esto está alojado en un servidor web, pero que tiene conexión directa con el servidor SCADA, basado en un AS/400 (que también debería fortificarse). Este servidor AS/400, además, tenía conexión de a Internet, por lo que una vez llegado a él se podría sacar datos. Llegando a un servidor, es fácil acceder a las credenciales de acceso a otros servicios, incluso acceder a las passwords de gestión de los PLCs e incluso mucho más fácil, ya que puede que haya sistemas PLC sin passwords o fácilmente saltables.
Figura 4: Arquitectura de red de los sistemas de la planta. Desde el AS/400 acceso a todo.

2) Aplicación de pagos con mala gestión de identidades
Cualquier cliente de la empresa se podía conectar al sistema de pagos con un sistema de credenciales basado en usuario y contraseña, sin que hubiera ninguna protección de Segundo Factor de Autenticación o Autenticación Robusta, lo que permitía a un atacante hacerse fácilmente con alguna cuenta de usuario con ataques simples de phishing, troyanos, etcétera.
3) Aplicación de pagos con vulnerabilidades en el código del backend
La aplicación de pagos no estaba correctamente auditada y desde la sesión de un usuario era posible explotar bugs en el backend que permitieran acceder a los ficheros del servidor. No se sabe si la vulnerabilidad permitía subir una shell, era un ataque de LFI, o un Directory listing, pero con este fallo se podía acceder a los ficheros del servidor.
4) Credenciales de acceso al sistema SCADA en AS/400 sin 2FA
De nuevo, el acceso al sistema SCADA utilizaba usuarios y contraseñas sin ninguna protección de Segundo Factor de Autenticación, así que cualquiera que se hiciera con las credenciales podría entrar a manipular el servidor.
5) Credenciales almacenadas en el servidor de la aplicación de pagos
Como sucede en muchos casos, las herramientas de adminsitración de servidores permiten guardar información de las conexiones que realizan los técnicos para que sea cómodo acceder a ellos a golpe de clic. Según parece, en el servidor de la aplicación de pagos había un fichero .INI con las credenciales del sistema SCADA, así que una vez accedido a los ficheros del servidor fue fácil obtener el acceso al sistema SCADA.
Figura 5: Cúmulo de fallos en la gestión de las credenciales de acceso a los sitemas

6) Reutilización de credenciales en distintos sistemas
Al final, los atacantes se pudieron llevar la base de datos de los usuarios, ya que las credenciales funcionaban en otros sistemas conectados, como el servidor que hospedaba la aplicación financiera de la planta.
Por suerte, al manipular las cantidades de productos químicos con las que se hace la depuración del agua, las alertas de seguridad de la planta levantaron las alertas. De nuevo, un caso en el que el cúmulo de errores de seguridad lleva a que casi Security se convierta en Safety y haya un verdadero problema para los clientes de esta planta. Hay que agradecer que las Infraestructuras Críticas aplican conceptos de defensa en profundidad para no depender totalmente de un sistema informatizado y, en este caso, ha evitado una catástrofe.

Saludos Malignos!

martes, febrero 09, 2016

"Doxean" los datos de 20.000 Agentes del FBI con un ataque de Spear Phishing

Hace solo unas horas, un atacante ha publicado una lista de 20.000 cuentas de Agentes del FBI asociados a sus nombres, cargos y direcciones de correo electrónico. La información ha sido volcada en la red, y anunciado mediante una cuenta de Twitter bajo el nombre de Penis en la dirección @dotgovs y, según parece el atacante ha sido por motivos políticos, ya que en la publicación se ha hecho referencia a un hash que apoya la liberación de Palestina.

Figura 1: "Doxean" 20.000 datos de Agentes del del FBI con ataque de Spear Phishing

Se conoce como doxing al conjunto de ataques o actividades en la red que tienen como objetivo desenmascarar identidades físicas detrás de identidades digitales. Esta ha sido una de las tareas que Anonynous se tomó en serio detrás de su respuesta a los ataques terroristas de ISIS en París. En este caso, la publicación de estas 20.000 cuentas de Agentes del FBI son una base de datos que parece que han conseguido desde un equipo del DoJ (Department of Justice) de Estados Unidos por medio de un ataque de Spear Phishing.

Figura 2: Anuncio de la publicación de los datos

Los ataques de Spear Phishing son ataques dirigidos a personas concretas para conseguir robar credenciales de acceso a sistemas de información de la compañía. Son como los ataques de Spam Phishing en cuanto a la técnica, es decir, utilizan suplantaciones de correos electrónicos o dominios que engañen a los usuarios para la captura de datos, pero están redactados y escritos pensados en convencer a una única persona, la víctima. Es decir, son ataques muy dirigidos a una persona o un grupo de personas de una organización y por eso tienen un alto grado de efectividad.

Como la mayoría de los sistemas internos de las organizaciones no cuentan con implantación de sistemas de autenticación de segundo factor, una vez que el atacante consigue la cuenta y acceso al sistema, ya tiene todo lo que necesita para estar durante largo tiempo, accediendo a los datos, y es por ello que hay que entrenar a los empleados a no caer en este tipo de ataques y proteger todas las identidades internas de la organización con medidas de seguridad.

Figura 3: Paste Cifrado con los datos

Los datos que este hacktivista ha volcado están en un CriptoPaste, un sistema de publicación de pastes que usa cifrado de datos para evitar el escaneo continúo que hacen los sistemas de cibervigilancia continuo de las empresas de seguridad. Para ver el contenido hay que ir a la URL del sitio e introducir la clave, que en este caso ha sido "lol".

Figura 4: Paste con los datos descifrados

El atacante dice que también tiene datos de 9.000 empleados del Department of Homeland Security, otra organización de la que hace poco sabíamos que también adolecía de medidas de seguridad robusta en sus sistemas internos, con falta de segundos factores de autenticación, sistemeas sin actualizar o bugs de SQL Injection en sus aplicaciones web internas, gracias al informe de seguridad del DoH mes de Noviembre de 2015 que se publicó.

Figura 5: Algunos de los bugs en el DoH reconocidos.

No es la primera vez que un ataque de Spear Phishing se utiliza para robar los datos de una gran empresa u organización - ya lo vimos en el caso de la RSA Conference no hace mucho tiempo o el que se hizo a la propia Casa Blanca- y lo seguiremos viendo. Mientras que algunas compañías se empeñan en gastar dinero en tecnología de lo más moderna para cumplir con las modas del mercado, dejan mucha low-hanging fruit y cosas básicas sin hacer, y la gestión de las identidades internas y la lucha contra el Spear Phishing mediante entrenamiento de los empleados es esencial. Los buenos CSO, CISO y CIOs lo saben.

Saludos Malignos!

sábado, enero 16, 2016

Risk Alert: WebSerie dedicada a los Riesgos de Seguridad

A finales del año pasado comencé a grabar una WebSerie de doce capítulos para A3 Media y La Sexta centrada en riesgos de seguridad, en técnicas hacking y medidas de protección para los usuarios. Tras darle varias vueltas al nombre al final se decidió llamar al espacio Risk Alert. Es una WebSerie y desde el principio se concibió para consumirse en Internet, por lo que los vídeos son de corta duración - entre 6 y 8 minutos - y tocan temas muy concretos.

Figura 1: WebSerie Risk Alert

Hasta el momento se han publicado cuatro programas, y tendrá un total de doce episodios que irán saliendo semanalmente. Aquí os dejo los que han salido publicados hasta el momento, por si te apetece verlos este fin de semana.

Figura 2: Risk Alert 1 - Hacker, Cibercriminal, Hacktivista
Figura 3: Risk Alert 2 - Los problemas de la geolocalización
Figura 4: Risk Alert 3 - El Celebgate
Figura 5: Risk Alert 4 - Hackeos a web de citas. Ashley Madison & Adult Friend Finder
Según vayan apareciendo el resto, los iré añadiendo a este artículo y anunciando por mi cuenta Twitter (@chemaalonso), por si quieres verlos todos.

Saludos Malignos!

domingo, noviembre 29, 2015

Informe Semanal: "La amenaza yihadista"

El jueves pasado, mientras estaba dando una conferencia en el Google Campus con la gente de MasterCard, aprovecharon para entrevistarme para un programa de Informe Semanal que se estaba grabando y que iba a tratar el asunto de la tragedia de París y la reacción de Anonymous contra ISIS. El tema sobre el que versó mi entrevista ya lo conocéis, son los dos artículos que he escrito sobre el tema: "Anonymous vs ISIS: No se puede matar una idea con hacking" y "Las recomendaciones de seguridad del ISIS no son para paranoicos de la privacidad".

Figura 1: Informe Semanal. La amenaza yihadista

El programa salió en antena ayer por la noche, y ya está disponible en la web de RTVE, así que os lo dejo aquí por si alguno se lo perdió y le apetece verlo, que la periodista es de gran calidad y conoce en profundidad todo este conflicto.



Saludos Malignos!

jueves, noviembre 26, 2015

La novela "Cluster" de 0xWord Pocket y el Black Friday

Ayer por la tarde se publicó el nuevo libro de la Editorial 0xWord, pero bajo una nueva línea llamada 0xWord Pocket. Ya teníamos en la editorial algunos títulos que están centrados más en la lectura y el entretenimiento que en la parte técnica, como es el caso de los libros de Wardog y el Mundo o el de Microhistorias: anécdotas es historias del hacking & informática, además de contar con el libro de Hacker Épico, que además de contar cosas técnicas, es principalmente una gran historia de lectura que hemos podido incluso trasladar a un cómic. El nuevo libro se llama Cluster y es una novela. Una novela, pero con una carga tecnológica alta, y hemos querido crear la nueva línea 0xWord Pocket para diferenciar bien estos libros de lectura, de los textos que sean principalmente técnicos.

Figura 1: Cluster, 0xWord Pocket y el Black Friday 2015

Cluster es una novela en la que se cuenta una historia de acción con una mezcla de muchos elementos de este mundo nuestro. Une un suceso traumático como el suicidio de un joven que sufre cyberbullying y grooming, con el proceso de investigación de ataques SCADA en el que se busca a un grupo de cibercriminales. Será la Brigada de Investigación Tecnológica (BIT) de la Policía la encargada de llevar a buen puerto la resolución de los casos.

En la trama, que no os quiero desvelar mucho, se explican casos como Stuxnet, el ataque real a Cofrentes por parte de Greenpeace y el mundo de hacktivistmo, así como las acciones de un hacker que ayuda en la resolución de ciertas partes de la historia con el que al final colabora la Policía. Por supuesto, hemos querido que el libro, sin ser un manual técnico, fuera realista con las partes tecnológicas, y no hubiera "magia de Hollywood" de esa que te saca de la película cuando ves cosas como la de la Operación Swordfish.

Figura 2: Cluster, una novela para amantes del hacking y el thriller

El autor es Felipe Colorado, que es Ingeniero Advance Plus de la Universidad Politécnica de Madrid y profesor de matemáticas y tecnología. Ganó el premio Desnivel de Literatura 2009 con su obra “Om, la montaña roja” que es una novela de alpinismo-ficción ambientada en Marte en el siglo XXII y fue finalista del prestigioso Premio Ignotus 2013 en la categoría mejor novela, por “Corazón de alacrán”. En su tercera obra "Baldur. El ocaso del III Reich" abandonó la temática futurista para sumergirse en una tensa trama histórica y ahora ha escrito "Cluster" que entra de lleno en el género tecno-thriller policiaco, abordando los peligros de Internet desde el acoso a menores hasta los ataques a infraestructuras críticas.

Black Friday en 0xWord

El libro lo hemos editado en un formato un poco más pequeño que los manuales técnicos para poder ponerle un coste más bajo al libro, así como para que sea más fácil llevar en los desplazamientos en metro, autobús o tren al trabajo. Y, lo hemos lanzado hoy para que mañana podáis aprovecharos de la oferta del Black Friday que vamos a poner en 0xWord.

Figura 3: Código con 10% de descuento para el Black Friday 2015

Desde las 00:00 horas (hora de España) de este viernes, es decir, desde esta misma noche, hasta las 00:00 horas del sábado, podéis utilizar el cupón BLACKFRIDAY2015 para obtener un 10% de descuento en todas las compras que hagáis en 0xWord, así que si quieres hacer un regalo de Papá Noel o aprovisionarte de material, puede ser el momento que estabas esperando.

Saludos Malignos!

miércoles, noviembre 18, 2015

Anonymous vs ISIS: No se puede matar una idea con hacking #OPisis #OPParis

No hay nada más poderoso que una idea a la que llegó su momento. Esa es una de las frases que hizo de la película "Origen" (Inception) algo de culto. Una sola idea puede hacer que un ser humano cambie radicalmente. Lo sentimos nosotros todos los días. Una sola idea de dolor, una pena, un sentimiento de amor, puede ocupar toda nuestra mente de forma completa y anular nuestro día. Puede mediatizar todas las acciones que realizamos. Puede llevarnos incluso a tener que drogarnos y estar con medicamentos que anulen parcialmente nuestra mente. Puede cambiarnos por completo. Puede hacer que la persona a la que más hemos amado nunca se convierta en el enemigo más odiado de nuestra existencia. Solo una idea que ni tan siquiera tiene que estar respaldada por la realidad. Solo una idea que ha crecido en nosotros y que hemos alimentado con lo que hemos querido leer o hemos querido oír, o nos han dicho o contado.

Figura 1: Anonymous vs ISIS

En la película "Origen", el objetivo de los protagonistas es hacer crecer una idea en la mente de su objetivo que le haga movilizarse hacia donde quieren ellos. Porque las ideas mueven a las personas mucho más rápido que los trenes, los aviones o el dinero. Alguien es capaz de hacer lo que sea si piensa que esa idea a la que se aferra es suya, ha sido construida como un punto sólido de verdad indiscutible y le da razón a su vida. Las ideas son poderosas.

Sin embargo, conseguir tener una idea de esas características es complicado en la sociedad moderna, con tanta complejidad metida en nuestra mochila histórica. Conseguir tener una idea clara es muy difícil y por eso las campañas de comunicación buscan ser muy sencillas para que los que están en busca de ideas se "infecten". Si se consigue crear esa idea sencilla y fácil, acabará por viralizarse, y superará en mucho a los creadores de la misma, a los que las utilizan y por supuesto será muy complicado pararlas una vez que vive en la mente colectiva de un grupo de personas o la sociedad. Se instala durante largo tiempo para perdurar.

No es de extrañar que todos los políticos luchen por controlar la educación de la sociedad, ya que es la base para meter ideas a las personas. Es el camino directo a la mente. Basta con conseguir controlar los contenidos de lo que se va a meter en las aulas y lograr que se repita una y otra vez para que se viralice después en la sociedad. Así se hacen los cambios en los países, controlando la educación.

Las personas somos inquietas por naturaleza, pero desmontar una idea que nos han introducido en la cabeza es mucho más duro que otra cosa y solo seremos capaces de hacerlo si tenemos otra idea de las mismas características a la que aferrarnos. Por eso la gente es capaz de pasar del amor a una persona en base a una idea que se tiene sobre ella al desprecio más extremo solo porque en su cabeza ha crecido otra idea. Las ideas son poderosas.

Meter una idea en la cabeza de una sociedad, o en la cabeza del mundo globalizado hoy en día, es el reto de muchos gobiernos, de grupos terroristas, de facciones nacionalistas de toda índole. "Ya te he dado la idea, ahora actúa en base a ella." Y las personas somos capaces de matar o morir por las ideas. Son más importantes que nosotros mismos. Son nuestros ideales. Son nuestra verdadera razón de ser. Por eso seguro que hay personas en tu círculo por las que darías tu vida o muchas cosas por las que le podría una persona quitar la vida a otra. 

Figura 2: Imágenes sobre Iran creadas por HBGary

En la incursión de Anonymous en los servidores de la empresa HBGary, una de las contratas del gobierno de USA en materia de seguridad, una de las revelaciones que se pudo ver es que tenían equipos de dibujantes y psicólogos para meter ideas en las redes sociales. La guerra de la propaganda que antaño se hacía con panfletos lanzados desde los aviones o radios puestas en las puntos controlados, llevadas al mundo de Internet.

Por supuesto, ISIS también sabe eso, y en sus campañas de difusión de ideas cuidan los detalles de toda la viralización de sus ideas. Montajes espectaculares, adoración de los mártires, ideas fundamentales sobre por qué su lucha. Si no hay una idea que se meta como un virus en la cabeza de las personas adecuadas, nunca se tendrá éxito. La idea sabe lo que tiene que hacer para copiarse una y otra vez de una cabeza a otro. En este estudio se ve cuáles son las redes sociales asociadas a 600 cuentas que se las relacionó con ISIS cuando se hizo este trabajo.

Figura 3: Porcentaje de cuentas relacionadas con ISIS asociadas a RRSS en el estudio

Tras los atentados de París, las ideas que llevaron a nuestra sociedad occidental a ser como es han vuelto a florecer. Mensajes cargados de emoción, actos simbólicos en estadios de fútbol, en la calle, en las ciudades de todos los pueblos en las que las poderosas ideas de nuestra sociedad occidental - si no nunca hubieran triunfado sobre las de otros pueblos - se han puesto de manifiesto. En la guerra, siempre hay una fuerte lucha entre las ideas. 

En esta guerra de ideas, el hacktivismo y los hacktivistas también tienen mucho que decir. No hay que olvidar que cuando un hacktivista decide cometer un delito con técnicas de hacking, ya sea dañando la reputación de una empresa, publicando datos confidenciales y comprometedores de un gobierno o una organización, hacer un defacement o un ataque de denegación de servicio, lo hace por sus ideas. Probablemente no gana más que problemas en su día a día, pero sus ideas son más importantes que lo que le pueda pasar en su vida. Él sirve a una causa mayor que son sus ideas.

En ISIS hay gente con mucho conocimiento de seguridad informática. Hay personal que abrazando sus ideas ponen el conocimiento que tienen de criptografía, anonimato, OSINT, doxing, exploiting al servicio de su causa. Por supuesto, en el otro bando también hay hacktivistas que defienden otras ideas, y es por eso que hemos visto un anuncio de Anonymous amenazando a ISIS.


Figura 4: Anuncio de Anonymous en OpParis

Anonymous es un sentimiento hacktivista que aúna a muchas personas con ideales de libertad en la red y en nuestra sociedad bajo una bandera. No son un grupo jerárquico organizado, ni son una única organización mundial con un ideario común. Hemos visto en el pasado grupos que bajo la bandera de Anonymous han defendido ideas contrarias a las que han defendido otros grupos de Anonymous. Esto ha sido especialmente flagrante cuando las operaciones se hacen bajo el paraguas de unas elecciones políticas.


Figura 5: Entrevista sobre Anonymous en el año 2011

En el año 2011 en una entrevista para TV, tras anunciarse la desarticulación de Anonymous por parte de la policía, intenté explicar que Anonymous es mucho más grande que un grupo de hacktivistas operando con el sentimiento de Anonymous que haya sido detenido, que es un sentimiento, una idea, instaurada en Internet y que iba a perdurar.

Estados Unidos los tiene marcados como grupo terrorista, porque participaron en la lucha contra HBgary, en la defensa de Wikileaks (no olvidemos que Julian Assagne sigue encerrado en la embajada de Ecuador), en la defensa de Edward Snowden o en la lucha contra Sony cuando demandó a GeoHot. Aún así, a pesar de cometer delitos según las leyes de ciertos países, no tienen por que ser antisistema como muchos los quieren catalogar. No hay un ideario común en la bandera de Anonymous que diga que hay que acabar con ninguna sociedad. Green Peace defiende sus ideales cometiendo delitos, y no parece que nadie crea que sean terroristas - Bueno, seguro que alguno sí que lo piensa -. Ayer, en la cadena SER intentaba explicar esto mismo a los periodistas del programa.

Figura 6: Entrevista en Cadena SER sobre Anonymous

Anonymous ha anunciado la Operación Paris (#OpParis) y muchos lo ven como una guerra que puede terminar con ISIS. Por supuesto, es una reacción que puede hacer mucho daño, pero sus esfuerzos se van a centrar en las técnicas antes citadas:
- OSINT para localizar todos los rastros que hayan podido dejarse en Internet de registros de direcciones IP, cuentas en redes sociales, correos electrónicos, cuentas de registro de servidores, documentos, etc... 
- Doxing: Localización de las identidades reales detrás de las ciberidentidades. Es decir, responder a preguntas como quién controla una página web, quién está detrás de una página de reclutamiento en Facebook o detrás de una cuenta en Twitter. 
- Exploiting: Por supuesto, si pueden hackear páginas webs, servidores y robar los datos del enemigo, lo van a hacer. Sacar bases de datos de webs, troyanizar máquinas de miembros relacionados con ISIS, etcétera, es algo que pueden hacer con facilidad.
Si la Operación ISIS de Anonymous descubre cuentas de redes sociales controladas por miembros de ISIS, estas pueden ser cerradas, lo que desarticula el canal de difusión en las redes sociales, pero no acaba con los canales alternativos que puedan generarse. Si señalan a personas concretas descubiertas con de procesos de doxing, entonces estarán generando un problema a un colaborador o miembro que deberá emprender una huida de su lugar actual. A día de hoy, puedes seguir en este canal Youtube los diferentes "ROUNDs" de esta operación de Anonymous.

Todo esto puede ser bueno, pero también puede ser malo. Los cuerpos de seguridad del estado, los ejércitos de las naciones también realizan estas acciones. Es verdad que lo hacen sujetos a la legislación y normas de cada país, y que esto muchas veces no es lo más eficiente, pero el alertar a una persona que está bajo vigilancia de un cuerpo de seguridad de que se sabe que es colaborador de ISIS puede acabar con una operación trazada con un fin mayor, y que se encuentra ahora solo en estado de recolección del máximo posible de información.

¿Es bueno que Anonymous haya declarado la guerra a ISIS? Esto es algo que me han preguntado varias veces desde que salió la noticia. Yo no soy quién para juzgar esto o no. Cuando una persona es capaz de arriesgar su seguridad personal dentro de una sociedad para cometer delitos en pro de sus ideales, es porque tiene esa idea dentro de sí. Porque tiene algo a lo que aferrarse para dar sentido a su vida que le fuerza a hacer lo que hace. Eso es el hacktivismo, o el activismo político e ideológico. En ISIS también tienen lo mismo, gente que es capaz de hacer justo lo contrario. Por eso en el 2011 dije que no creía que se pudiera acabar con Anonymous con detener a un grupo de personas, al igual que no es fácil acabar con las ideas detrás de ISIS por detener a personas de su círculo.

Lo que sí que tengo claro es que, por muchos aviones que se envíen a bombardear personas, por muchas personas que sean asesinadas con una bomba o un rifle de asalto, por muchas cuentas que sean doxeadas o por muchas webs que sean defaceadas, cuando una idea es tan poderosa que hace que la gente Ame y Odie, que hace que la gente esté dispuesta a Matar o Morir, con hacking no se va a arreglar nada. El hacking no va a matar una idea.

Saludos Malignos!

martes, octubre 01, 2013

Tu CPD como un mundo cibernético sin fin

Hace ya unos años, durante una gira Up To Secure, daba una charla sobre lo difícil que se ha convertido el trabajo de encargarse de la seguridad de los sistemas de una organización. Comenzaba con un hombre y una mujer felices en su CPD. Al hombre le faltaba un puro, una copa de coñac y El Marca para ser feliz allí. Ese CPD era su reino. Una foto ensoñadora. Era feliz porque no había usuarios. Ni compañeros manazas. Ni superiores que tocan el sistema informático sin saberlo. Era su reino de cómputo. Nada que hiciera prever el destino final de los administradores de sistemas como Bastard Operators From Hell a lo Wardog.

Figura 1: Mi CPD es mi reino

En esa presentación que os dejaré aquí para el recuerdo, continuaba toda la historia de penurias que seguirían a tan bucólico comienzo. Tras un momento donde sólo había que preocuparse de tener un plan anti-incendios, anti-humedad, hacer copias de seguridad de las cintas, tener un generador de corriente de respaldos y, como no, de tener un candado - cada vez más grande debido a los lockpickers - para gestionar su seguridad.

De ahí en adelante, todo fue un suplicio. Primero las terminales, luego las redes de área local, los servicios de acceso remoto, los servicios en hosting, para pasar luego a tener redes WiFi, los Pokemons tipo BlackBerry, Symbian o Windows Mobile que sería Digimon en iPhone, Windows Phone y Android, para pasar luego de la tecnología en cluster, a los Grid, de ahí a preocuparnos de mandar los procesos pesados a sistemas de High Performance Computing hasta llegar a la Cloud. Todo ello, sin olvidar el divertido "compliance" de legislación y certificaciones de estandarización que tanta diversión provocan en el mundo de la seguridad.


En esa charla, siempre que contaba los problemas de cada estadio al que habíamos llegados, para resaltar con tremendismo teatral la tragedia de nuestra profesión, continuaba con una pregunta al aire que decía: "¿Puede esto ir a peor?" Por supuesto, la respuesta siempre es sí. Siempre hay algo que puede hacernos trabajar más en nuestra profesión.

Al final, en aquella época terminaba hablando de que encima tienes que ocuparte de los hackers, que necesitan que les des un sistema capaz de soportar el pentesting, de los hacktivistas, la ciberguerra y los usuarios fashion victim de las redes sociales y los servicios de Internet.

Estos últimos especialmente, son los que obligan a día de hoy a tener que tener un ojo puesto en la zona del sistema que contiene los datos críticos de nuestra organización, y otro ojo puesto en la otra parte del sistema que puede contiener "parte" de los datos críticos de nuestra organización. Una es la zona que hemos definido nosotros, otra es todo Internet.

El "CPD" como Mundo Sin FIN

Nuestro sistema se ha convertido en arena del desierto que se escapa entre los dedos de nuestra mano. Una página web publicada ya nunca podrá desaparecer de Internet. Una fuga de información en un documento publicado en nuestra web perdurará para siempre. Un fallo en la configuración del servicio DNS o en la protección inicial del hosting y será un problema para siempre. Una mala configuración de nuestros parámetros SEO y datos de nuestros clientes aparecerán en las cachés de los buscadores. Un fallo en la seguridad de la web y un eventual hacktivista replicará nuestra base de datos en un foro como Pastebin. Un cliente con mala praxis, abrirá al mundo del Fraude Online las puertas del dinero de nuestros fondos. Y un atacante con ganas de robar información de nuestro sistema podrá utilizar todas las fugas que hayamos sufrido en su favor con un APT.

En el mundo del pentesting se llama OSINT a la disciplina de nutrirse de fuentes abiertas para hacer las fases de footprinting y fingerprinting, pero con un poco de suerte, una fuga de datos publicada en un sitio como Pastebin o analizada en LeakedIN en la que se hayan volcado los datos del router de una víctima o los usuarios y contraseñas capturados por una botnet desactivada, puede abrir muchas puertas en casa del objetivo.

Figura 3: El "CPD" se ha convertido en un mundo cibernético sin fin

En el mundo de la seguridad de sistemas, al servicio que comprueba constantemente que no haya fugas de la organización que se protege se le llama Inteligencia, Vigilancia Digital, o Ciber-Seguridad - como se le llama en Telefónica - pero al final significa lo mismo. Comprueba constantemente que en todo Internet no hay en ningún repositorio información sensible para la seguridad de tu sistema. Y esto puede estar a la vista... u oculto por servicios de pago como el del Whois histórico que se llevó al "emprendedor" que creo la botnet más grande en Mac OS X, foros privados a los que solo se puede acceder si tienes infiltrados un determinado nivel de confianza con el grupo que allí pulula o la famosa Deep Web. Todo cuenta.

El firewall, el IDS, el sistema de actualización de software, el antimalware de la red, los servicios de redes limpias con antispam, los servicios de VPN o la auditoría de seguridad las webs - que nosotros pensamos que debe ser continua - parecen más que introducidas en el mundo de la seguridad empresarial. La vigilancia de Internet continua para tener un servicio de Ciberseguridad, a pesar de que se comercializa desde hace ya tiempo, no está aún introducida en todas las empresas, pero todo se andará, seguro. 

Y cuando esté resuelto el servicio de ciberseguridad de la empresa... ¿Puede esto ir a peor? Pues seguro que sí, o si no, tiempo al tiempo...

Saludos Malignos!

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares