domingo, octubre 23, 2016

Haz unos hacks con Latch y gana 8.000 USD en BitCoins @elevenpaths #Latch #BitCoin

Éste es el tercer año en el que tienes la oportunidad de jugar con las tecnologías usando nuestra tecnología Latch y llevarte un premio de 5.000 USD que te acabe por animar las fiestas navideñas. Como en años anteriores, lo que os proponemos en el concurso Latch Plugin Contest 2016 es que nos sorprendáis con un hack usando Latch para hacer algo nuevo, útil, divertido o diferente, como lo han hecho los ganadores los años anteriores.

Figura 1: Haz unos hacks con Latch y gana 8.000 USD en BitCoins

No solo habrá un primer premio, sigo tres que se repartirán 8.000 USD en BitCoins de la siguiente manera: El primer premio se llevará 5.000 USD, el segundo se llevará 2.000 USD y el tercero 1.000 USD. No está nada mal para un hack que además puede ser tu carta de presentación para cualquier entrevista de trabajo, que puede ser tu Trabajo de Fin de Carrera, tu Proyecto de Fin de Máster o simplemente la forma de venirte a trabajar con nosotros a ElevenPaths a la fábrica de caramelos, que seguimos buscando gente y contratando semanalmente nuevos compañeros, ahora también para LUCA.


Figura 2: Control del sonido de un timbre con Latch

Puedes participar si eres desarrollador y tienes más de 18 años. Si no tienes más de 18 años, puedes hacerlo en equipo con alguien que los tenga y participar. Tirar líneas de código lo hacen los desarrolladores desde muy jóvenes, pero para recibir dinero necesitamos hacerlo como nos marca la ley. 


Figura 3: Integración de Latch en Asterisk. Se llevó premio extra en 2014

¿Qué puedes hacer? El límite lo marca tu imaginación. En años anteriores hemos visto usar Latch para diferentes cosas.  El primer año el premio se lo dimos para el SDK de Latch como una gema para Ruby On Rails, para la integración de Latch en los accesos físicos al laboratorio de estudiantes de la universidad, a una integración de Latch para LifeRay y un cuarto premio extra para la integración de Latch en Asterisk. Aquí tienes los vídeos de los premiados, y te dejo la ceremonia de entrega donde se llevaron los cheques.


Figura 4: Ganadores de Latch Plugin Contest 2014

El año pasado, los premiados fueron los hacks de Twlatch que integraba Latch con tokens OAuth de Twitter, para el SDK de Latch para el lenguaje GO y para Latch Proximity que integraba zonas de seguridad BlueTooth con Latch para crear espacios físicos protegidos. De nuevo, aquí tenéis los vídeos de los plugins y os dejo la ceremonia de entrega de los premios.


Figura 5: Ganadores del Latch Plugin Contest 2015

Al final tú pones los límites de qué quieres hacer y dónde quieres usarlo. En mi Canal Youtube tengo una lista con más de 30 vídeos con plugins oficiales y más de 30 plugins y hacks hechos por la comunidad donde podéis ver casi de todo.


Figura 6: Configurar WordPress in Paranoid Mode con Latch

Además, nosotros vamos periódicamente haciendo hacks de integración de Latch con muchas cosas. Desde huchas, hasta Do-It-Yourselft ATMs como se vio en el ejemplo de Paper Key. La imaginación la pones tú.


Figura 7: Hardening MediaWiki con Latch

Ahora, con las nuevas instancias, el número de posibilidades crece, y se pueden hacer cosas como lo que hemos creado nosotros con Latch AntiRansomware en la que das de alta las carpetas dinámicamente para que las operaciones se creen de forma personalizada por cada usuario, lo que abre muchas posibilidades.


Figura 8: Latch AntiRansomWare

Si quieres ayuda, en la web de Latch, si te registras gratuitamente como developer, tendrás acceso a los plugins (OpenSource casi todos), a los SDKs, a la documentación de las llamadas, etcétera. Además, en la Comunidad de ElevenPaths tienes una sección de Latch con plugins, ejemplos, código y muchos compañeros con los que puedes debatir si tienes dudas, por lo que mejor imposible.


Figura 9: Conferencia sobre Latch en Codemotion 2014

Yo te recomiendo para empezar que te leas este artículo de "Cómo cocinar una aplicación PHP con Latch" y veas lo sencillo que es empezar desde cero a integrar Latch en cualquier sistema. Luego no te quejes de que no tienes dinero. Tienes hasta el 12 de Diciembre para demostrar tu talento, así que inscribe ya aquí mismo.

Saludos Malignos!

sábado, octubre 22, 2016

Winter is Comming: Algunas reflexiones sobre el DDOS que tumbó Twitter, WhatsApp y alertó al mundo

Que Internet se ha metido en nuestras vidas de lleno desde hace unos años está claro tiempo atrás. Familiares y amigos se comunican por los servicios de las redes sociales diariamente, mucho más incluso que en el mundo físico sin necesidad de smartphones y conexiones de datos. Y ayer, muchos de ellos, fueron conscientes de cuánto lo necesitan. Se dieron cuenta que no funcionaba el Twitter, y por tanto los haters no podía desahogarse. Se dieron cuenta de que no funcionaba WhatsApp, y por tanto no podían pasarse memes, pero tampoco funcionaba NetFlix y no podían poner a las niñas a Masha y el Oso para que estuvieran calmados o escuchar música en Spotify mientras hacía running.


Figura 1: "Winter is Comming" Algunas  reflexiones sobre
el DDOS que tumbó Twitter y Whats y alertó al mundo

La lista de servicios - de los masivos - que se vieron afectados fue larga. XBOX, Twilio, Paypal, Play Station Network o CNN también estaban entre los afectados. Y entonces sí, entonces el mundo más allá de los que saben qué es una dirección IPv4 o una dirección IPv6 se empezó a preguntar... ¿Qué está pasando aquí? ¿Qué ha sucedido que sí que está afectando a mi vida?

La respuesta era tan sencilla, como tan difícil de hacer entender a la gente. Fue un ataque DDOS masivo contra los servidores DNS de una de las empresas que dan soporte a muchos de estos servidores y a muchos de los usuarios. Un ataque contra la petición de resolución de nombres que corta el contacto entre los clientes y los proveedores de servicios. Ya está, no funcionan los DNS y la infraestructura de Internet comienza a fallar

Los DNS en Internet

Que los DNS son una pieza clave en la infraestructura de Internet es algo que lo sabemos desde hace mucho tiempo. Si estos están atacados por un DDOS y no pueden resolver los nombres de dominio se acabó la conectividad, pero ya en el pasado hemos visto otros fallos, como el de Dan Kaminsky, que podrían haber tumbado todos esos servicios de igual forma modificando los valores de las respuestas a las direcciones IP.

Internet no nació pensando en todos estos ataques, y muchos servicios han ido evolucionando su funcionamiento añadiendo capas de seguridad sobre los estándares originales, como es el caso del DNS, pero que aún no se ha añadido globalmente en todos los servidores, donde muy pocos utilizan a día de hoy, por poner un ejemplo, DNSEC para firmar las resoluciones de los valores dados. Contra el caso de un ataque DDOS el problema no recae en el servicio DNS, sino en la red en sí. 

Figura 2: Verificación de Web Browser en CloudFlare

Supongamos el caso de un ataque de denegación de servicio contra la página web de una empresa. Si un adversario quiere hacer un DDOS, a nivel de HTTP se puede poner una Cloud por delante que filtre los bots atacantes de los usuarios legítimos, como hace por ejemplo CloudFlare, pero si se hace a los servicios DNS deben ser los routers que procesan las peticiones TCP o UDP sobre las que lleguen las peticiones DNS de resolución las que discriminen si esa petición llega desde una máquina legítima o no. Tarea un poco más compleja.

Un ejemplo de Anti-DDOS

Supongamos que la empresa DYN, objetivo de este ataque concreto, quiere detener este DDOS. Para ello, debe tener un red de protección previa a que el tráfico llegue a sus servidores. Si no fuera así, todo el tráfico del ataque DDOS llegaría hasta su red y, aunque lo detectase y lo descartara con un "drop", las peticiones de servicio no podrían ser procesadas porque el tráfico de llegar hasta el router ya está colapsado. Es decir, el paquete no-malicioso sería como un comprador habitual de un establecimiento que no puede llegar a la puerta del establecimiento porque es día de rebajas y está colapsada la puerta por las personas que vienen a por las ofertas.

Para ello, la empresa debe tener una red previa, proporcionada por el operador que le proporciona las conexiones a Internet, que fuera eliminando - antes de que lleguen a su router - las peticiones. Es decir, supongamos que el supermercado que tiene la puerta colapsada en día de rebajas decide poner en las 4 esquinas de las calles desde las que les llegan los compradores de rebajas cuatro puntos de control. Así, el tráfico masivo de nuevos compradores se dividiría por 4, quedando solo el 25% en cada punto de control. El comprador habitual pasaría uno de esos puntos de control con solo el 25% del tráfico del ataque para que luego, en la puerta de entrada del supermercado solo se encuentre y comparta entrada con otros compradores habituales.

Figura 3: El ataque DDOS a SpamHaus alcanzó 65 GPS

Si el tiempo de cruzar uno de esos cuatro puntos de control fuera aún muy lento, lo que debería considerar el supermercado es en contratar más personas para procesar en menos tiempo el 25% del tráfico que pasa por cada uno de esos puntos de control o crear nuevos puntos de control en una capa más alejada, para conseguir un mayor desglose del tráfico. 

Así es como funcionan los sistemas escudo que dan los ISPs desde la red, utilizando tecnologías como ARBOR para crear lo que se denominan escudos AntiDDOS proporcionados desde la red, que es lo que parece que podría haber hecho DYN para conseguir proteger sus servicios DNS, es decir, llamar a su proveedor de conexiones de red y solicitar la contratación de estos escudos Anti-DDOS desde la red.

¿Cómo se puede conseguir tanta potencia para hacer un ataque DDOS tan fuerte?

Los ataques DDOS a los servidores DNS pueden ser hechos de mucha forma. Ya vimos en el pasado - hace ya unos añitos - como se habían conseguido hacer ataques de gran potencia de tráfico mediante vulnerabilidades de DNS Amplification, como sucedió cuando se produjo el ataque a los servidores de SpamHaus. En ese caso, un spammer enfadado con las listas RBL fue capaz de tumbar los servidores con peticiones DNS por UDP spoofeadas en las que usaba como dirección de origen la de su objetivo para que los propios servidores DNS tumbaran a SpamHaus.

Pero si nos vamos a momentos más recientes, controlando routers, impresoras y equipos Windows, mediante bugs conocidos, exploits públicos, contraseñas por defecto o simple malware desplegado con kits de explotación, hemos visto como un grupo como Lizard Squad era capaz de tumbar en el pasado los servidores Play Station Network y de XBOS y hacer que el propio Kim Dot Com pagara con bonos de Mega para que pudiera seguir jugando a sus juegos.


¿Quién ha podido estar detrás?

Las especulaciones son como siempre de todo tipo. ¿Podría ser Korea del Norte atacando a EEUU para devolver una respuesta proporcionada al ataque de DDOS que sufrió como "castigo" por el ataque a SONY? ¿Podría ser un ataque para meter el miedo contra el voto electrónico? ¿Podría tener algo que ver con las elecciones en EEUU para que se beneficie el mensaje de uno u otro candidato? ¿Podría no ser nada más que una nueva versión de Lizard Squad enfadados por el bloqueo de alguna cuenta en Twitter? ¿Podría ser un ataque de ISIS por esos mismos bloqueos en Twitter

Ahora es tiempo para especulaciones, por supuesto, y para la conspiranoia. Pero si un estado tuviera esta botnet lista - que no dudo que algunos países tengan estas posibilidades - habría que ver si una operación así pone de manifiesto sus cartas. Lo que hemos visto en el pasado es que los ataques entre naciones han sido siempre sibilinos, utilizando 0days que no fueran detectados para evitar que dejaran de ser útiles, porque en el momento que se lanzan, los investigadores pueden descubrir cómo se ha hecho, qué han utilizando y dónde estaba el fallo aprovechado.

Figura 4: El ataque a Brian Krebs superó los 400 GPS con NTP Amplification

Hasta que no tengamos los detalles podría ser cualquiera cosa, pero viendo cómo fue el ataque a Brian Krebs, mi opinión iría más hacia esa dirección. Es decir, hacia alguien que ya tiene esa botnet creada con dispositivos IoT, routers y switches - como hacía la NSA - y que ahora está disfrutando con el uso de la misma en estos ataques DDOS. Me apuesto un camiseta de LUCA o de la FOCA a que en breve veremos más de estos y puede que, incluso los dispositivos de tu casa o de tu empresa sean parte de este ataque.

Saludos Malignos!

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares