- Entrevista a nuestro compañero Yago en ABC sobre Bitcoins en ¿Ha fracasado el Bitcoin?
- Vulnerabilidad de ejecución de código remota en Paypal, aprovechando una deserialización de Java
- Interesante reflexión de Rob "mubix" Fuller en Medium sobre los Red Team, Blue Team y demás
- En el blog de PortSwigger inyección de plantillas en el lado cliente con AngularJS
- VirusTotal añade posibilidad de análisis de firmware en busca de posibles amenazas.
- Dos nuevas vulnerabilidades en OpenSSL, una de ellas de criticidad alta
- La banca online de HSBC sufre un grave ataque de seguridad que no permite a sus clientes autenticarse.
- Cross-Site Scripting en Facebook mediante un fichero PNG y manipulación de Content-Types en sus CDN
- cve-search, busca localmente información sobre CVEs almacenados en una base de datos MongoDB
- Intrusión y múltiples vulnerabilidades en cPanel. cPanel ha publicado un aviso en el que reconocen haber sufrido una intrusión en su sitio oficial que ha podido exponer información de una base de datos de usuarios.
31 enero 2016
25 enero 2016
Hace unos días me contactó Lucía Caballero, periodista de El Confidencial, con un formulario de preguntas sobre cómo se veía actualmente la imagen de los hackers. Cuando este sábado se publicó el artículo, ví que mi amigo y compañero de blog Jose Antonio Guasch también había sido consultado para el mismo, y ninguno de los dos sabíamos que habíamos sido contactados por la misma periodista, para el mismo cometido.
El resultado lo podéis ver aquí: Los 'hackers' del cine y la televisión ya no dan vergüenza ajena.
Sin embargo, tanto Guachi como yo, tras pedir autorización a la autora, hemos querido compartir en el blog íntegramente el formulario de preguntas y respuestas que cada uno dimos a su correo.
Lucía: - ¿Has visto la película Blackhat? ¿Qué opinas de la manera en que representa a los ‘hackers’?
José Antonio: Sobre
la película de Blackhat opino que la parte positiva es que en
determinados momentos se utilizan términos concretos no inventados sobre
amenazas reales, como ha sido la campaña de malware Stuxnet. Al público
general no le sonaría (como cuando en CSI o en otro tipo de series se
mencionan tecnicismos muy específicos), pero si que suenan muy
familiares a las personas interesadas en el mundo de la seguridad
informática y está al día en esa temática de noticias. De todas formas,
como reflexión final, decir que la película la vi como una más de acción
con tema de ciber como hilo principal, como ocurrió con la cuarta de
Jungla de Cristal. En el blog en el que participo como editor (Security
By Default), tenemos a una crítica sobre la película http://www.securitybydefault.com/2015/02/cine-de-hackers-blackhat-2015.html
Lorenzo: En la película Blackhat se ven tres tipos de perfiles diferenciados:
El malo, un ciberdelincuente que decide ganar dinero mediante
operaciones fraudulentas, para las que se infiltra en sistemas
informáticos de organizaciones gubernamentales; el prota, un ex
ciberdelincuente con el que negocia una potencia extranjera su
libertad total a cambio de que les ayude a "pillar al malo"; los
funcionarios de diferentes agencias de inteligencia que tienen que
unirse en la búsqueda del malo y que cuentan con medios
inimaginables a su alcance para doblar las leyes a voluntad y
conseguir lo que sea en tiempo record.
Como película me parece bastante lenta y creo que no aporta nada nuevo, pero entretiene al espectador, hay persecuciones, pantallas con terminales, código fuente y caracteres binarios, además de una chica guapa,... y eso en el cine, es lo que vende.
Como película me parece bastante lenta y creo que no aporta nada nuevo, pero entretiene al espectador, hay persecuciones, pantallas con terminales, código fuente y caracteres binarios, además de una chica guapa,... y eso en el cine, es lo que vende.
Lucía: - ¿Y la serie Mr. Robot? ¿Qué opinas de ella?
José Antonio: Con Mr.Robot tengo sentimientos encontrados: Por
una parte, técnicamente es de lo mejorcito que hay junto con algunas
películas, y en ella se pueden ver tanto técnicas como herramientas
reales relacionadas con la seguridad/hacking. El problema que le veo es
que en el personaje de Elliot que interpreta Rami Malek de forma
magistral, es el típico asocial, marginado, con problemas de adicción,
oscuro y siniestro. Me hubiera gustado más ver algo parecido como con el
personaje de la serie Dexter, una persona totalmente normal, pero con
un "oscuro pasajero" que necesita actuar en según que momentos. Pero por
lo demás, un 9.5
Lorenzo: Esta serie ha supuesto una revolución en el sector, tanto por las
partes más técnicas como por la representación de la "filosofía
hacker" que hay en ella. Un protagonista que a lo Robin Hood,
utiliza sus amplios conocimientos de hacking para defender a quienes
lo merecen. Sin embargo, el papel de chico hacker, sufre varios
problemas de adicción a las drogas, así como una patología mental
importante. Para mi gusto, y pese a que se han esmerado y contado
con asesores que piloten en materia de seguridad informática para no
ver direcciones IP imposibles ni cosas que "técnicamente no sean
viables", han dedicado demasiados metros de película a los problemas
mentales del chico, y me dejó con un sabor un tanto agridulce en los
últimos capítulos.
Lucía: - ¿Y sobre la serie Silicon Valley?
José Antonio: Es de las series más divertidas que he visto en mucho tiempo, me encanta
la crítica que se hace del mundillo-burbuja startup sobretodo en un
sitio con tanta competencia. No la veo asociada con el mundo hacking, si
quizás con el geek. Cabe destacar un capítulo en el que por necesidades
de la trama en la que se encontraban si que estaba relacionado con
temas de hacking, y que contaron con Rob Fuller “mubix” como Technical
Advisor, que ha estrado trabajando desde siempre como ingeniero de
seguridad informática, y que ha sido parte importante del vidcast Hak.5.
En este post de su blog cuenta como fue la experiencia: http://www.room362.com/2015/09/tres-lessons-from-pied-piper-delete-key.html
Lorenzo: Ni idea, esta no la he visto.
Lucía: - ¿Podrías decirme algo de cada una que te haya llamado la atención positivamente? ¿Y negativamente?
Lorenzo: Como en muchas de las películas de acción de vidas pasadas y
presentes, se plasman acciones que en algunos casos son imposibles,
y en otras, aunque viables, son improbables, o que en la vida real
es más fácil que te toque la lotería a que pueda hacerse realidad.
Es lo mismo que en otros géneros en los que no hay ordenadores, pero
que el protagonista siempre sobrevive a un accidente de tren, otro
de avión, le pega una paliza a diez contrincantes a la vez y...
sigue vivo para conquistar a la chica. Una sucesión de hechos que
venden y entretienen, pero que no aportan nada.
Lucía: - También me gustaría saber qué te parecen algunas anteriores. Por ejemplo, The Net, Hackers o la serie CSI: Cyber. Y si hay alguna que te haya gustado o decepcionado especialmente, y por qué.
Lorenzo: Dentro de las películas relacionadas con cine de hackers, destacan
como clásicos Wargames, The Net, Sneakers, Hackers o incluso la
trilogía de Matrix, que son grandes clásicos que no me canso de ver
de vez en cuando. Ojo, la serie CSI Cyber, en mi opinión, no merece
estar en esta lista por la cantidad de imprecisiones, exageraciones
y másdelomismo que ofrece.
Hasta ahora, la película que menos me ha gustado, relacionada con seguridad informática ha sido Reboot http://www.securitybydefault.com/2013/01/cine-de-hackers-reboot-2012.html
Hasta ahora, la película que menos me ha gustado, relacionada con seguridad informática ha sido Reboot http://www.securitybydefault.com/2013/01/cine-de-hackers-reboot-2012.html
Lucía: - ¿Cuál crees que es la causa por la que los cineastas se molestan cada vez más en consultar a un experto en ciberseguridad para que las películas y series parezcan más realistas? ¿Es por las críticas de la comunidad hacker o también porque el público en general cada vez está más informado de estos asuntos?
José Antonio: Yo creo que para hacer una buena película siempre conviene documentarse
al máximo, sobretodo si el tema es claro protagonista de la trama. El
inconveniente como es obvio es que cuanto más se profundiza, más te
arriesgas a que el público que simplemente quiere entretenerse
desconecte. Lo bueno es que cada vez más el tema de la seguridad ha
dejado de estar presente en algunos blogs y páginas, y ha alcanzado los
medios tradicionales. Yo creo que es gracias a que ahora estamos todos
más conectados.
Lorenzo: Las noticias relacionadas con delitos informáticos, aparecen día sí,
día también en diferentes medios de comunicación. La industria del
cine, llevando a la gran pantalla actividades cotidianas de los
seres humanos, tienen que incluir la interacción con dispositivos
que pueden ser comprometidos. Por ello, y en vistas de intentar ser
lo más rigurosos posibles, las productoras deben acudir a asesores
en materia de seguridad informática que les orienten en la forma de
hacer las cosas. El problema, a mi entender, viene cuando el
productor pide que se vean acciones épicas, como construir un
malware en 5 minutos, que es 100% efectivo en el ordenador de la
víctima y que le permite al protagonista un control total... Las
críticas de la comunidad van a seguir existiendo ante esas
epicidades, como las que podría hacer un médico viendo Dr. House.
En general, el malentendido se produce en la parte en la que se "traduce" los tecnicismos y lo que realmente es posible, en aquello que vende y que cualquier espectador puede entender.
En general, el malentendido se produce en la parte en la que se "traduce" los tecnicismos y lo que realmente es posible, en aquello que vende y que cualquier espectador puede entender.
José Antonio: En la televisión y en otros muchos sitios, cuando se habla del hacker siempre se asocia con actividades delictivas. En casi todas las películas que el protagonista quiere recurrir a su amigo “el hacker”, siempre aparece de la misma manera, escondido en un sótano con 13 pantallas y muchos cables y placas base en la mesa. Salvo algunos casos concretos, no se recurre al “consultor/ingeniero de seguridad”, que podría ser el nombre del oficio más relacionado.Lucía: - ¿También influye que ser hacker se entienda cada vez más como un oficio y no como una actividad delictiva?
Lorenzo: Ser hacker no es sólo un oficio, sino una forma de entender las
cosas y de vivir la vida. Ser hacker, según mi entender, es ir más
allá ante el funcionamiento actual de las cosas, las ganas
incansables de investigar, tener curiosidad y actitud para aprender
y ser capaz de diseñar e implementar soluciones a problemas de forma
ingeniosa y eficiente. El problema es que el concepto Hacker se ha
instrumentalizado para todo aquello que implique "un tío detrás de
varios monitores, con gafas de sol, camiseta negra y una sudadera
con capucha, pizza y rap o música electrónica sonando de fondo,
tecleando a toda pastilla". Esta imagen, provoca en quien lo ve la
sensación que el protagonista está robando un banco o entrando en la
NASA... cosa bastante improbable, aunque la experiencia haya
demostrado, que ha sido posible. Además que aunque la estética
hacker se haya categorizado de esa manera, no quiere decir que todo
el que lleve sudadera, gafas de sol y una camiseta con un pingüino
sean hackers. Conozco excelentes profesionales y expertos en
seguridad que visten con camisa y hasta con traje! Y es que en este
caso, el hábito tampoco hace al monje.
Creo que es un error mitificar la estética o la personalidad de determinado colectivo porque el cine nos quiera vender que los hackers son gente asocial, llena de granos y rodeados de cajas de pizza vacías. Esto, no es así.
Creo que es un error mitificar la estética o la personalidad de determinado colectivo porque el cine nos quiera vender que los hackers son gente asocial, llena de granos y rodeados de cajas de pizza vacías. Esto, no es así.
Lucía: - ¿Te parece que se solía (y en algunas casos se suele) mostrar en las pantallas de sus ordenadores letras verdes o gráficos en 3D para que a la gente le parezca algo extraordinario y complejo?
José Antonio: ¡No se daban cuenta que es mucho más fácil recurrir
a un código fuente que gastar dinero en tantos efectos especiales! En
realidad pienso que se creían que representándolo así encajaría más con
el público, pero ahora mismo, que el uso de los ordenadores está tan
extendido, todo el mundo sabe cómo es un ordenador y lo que ocurre al
encenderlo. Recomiendo esta página http://moviecode.tumblr.com/ en
la que se muestran capturas tanto de televisión como de películas en
las que la gente caza código fuente, para saber a qué podría
corresponder. Se ven casos muy curiosos.
Lorenzo: Es parte del escenario que te decía antes. No hay película de
hackers en la que no aparezca un mapa del mundo con un trazo por
diferentes puntos, que simula las conexiones a través de diferentes
ordenadores que está haciendo el malo en ese mismo momento, y que el
FBI, es capaz de mostrar en una pantalla a los 5 segundos de haberse
iniciado una conversación telefónica con el ciberdelincuente.
Lucía: - ¿Por qué crees que les ha costado tanto mostrar código y hablar de lenguaje de programación, algo más parecido a lo que es en la realidad?
Lorenzo: Las líneas de código y comandos de un sistema operativo que se
suelen ver, hay que darle al botón de pausa durante un buen rato
para ver qué han querido hacer, puesto que normalmente aparece la
pantalla sólo durante un instante. Una vez más, debido a que el
objetivo de los productores de las películas es que sea lo más
global posible, no piensan en que su público vayan a ser
programadores experimentados, sino todo tipo de gente "con" y "sin"
conocimientos de informática.
Lucía: - ¿Crees que ha habido algún punto de inflexión en este sentido? Con alguna película, serie o con la protesta de algún hacker en particular.
José Antonio: Simplemente se ha evolucionado, y como he comentado
antes, la informática, seguridad, privacidad y demás cada vez están más
presentes en nuestro día a día. Fue curioso ver que en la televisión
hemos tenido dos ejemplos totalmente opuestos de como representar la
ciberseguridad, entre la serie CSI: Cyber (que mantiene su exageración
al igual que ocurría con CSI en temas forenses) y Mr. Robot
(representación fiel)
Lorenzo: Pienso que la comunidad hacker, al no estar tan "lobbytizada", no es
escuchada ante las críticas. Sin ir más lejos en Security By Default
solemos hacer críticas a películas, en las que hablamos de sus
puntos positivos y también los negativos
[http://www.securitybydefault.com/search/label/cine]. Incluso, hace
años escribí un artículo en el que hablaba de los Top Fails de
seguridad informática en el cine
[http://www.securitybydefault.com/2010/04/top-fails-de-seguridad-informatica-en.html]
Lucía: - ¿Hasta qué punto crees que los cineastas tienen que acercarse a la realidad hacker en sus representaciones? Quiero decir que cuando muestran una persecución o el trabajo de un policía, por ejemplo, también suele estar distorsionado o exagerado.
José Antonio: Soy consciente de que en según que películas conviene acercarse al
máximo a la realidad, sobretodo sabiendo que el público al que va
dirigido en mayor medida tiene esas inquietudes. Hay películas como 23 o
Los Fisgones que se acercan muchísimo a la realidad hacker, pero hay
otras como por ejemplo Hackers, en las que las persecuciones se realizan
con luces atravesando placas base y chips. Yo creo que cada vez más,
los cineastas se podrán acercar más ya que actualmente es un mundo mucho
más accesible y presente en nuestra vida cotidiana. Vuelvo a mencionar
el blog en el que participo, ya que disponemos de una sección Cine de
Hackers http://www.securitybydefault.com/search/label/cine en la que hacemos críticas de películas, series o documentales cuya temática gira sobre este tema.
Lorenzo: El objetivo de la productora es que la película sea éxito de
taquilla. Si se pasan de técnica, en vez de película o serie, la
clasificación sería de documental. En cualquier caso, si lo que hace
que te acabes el bowl de palomitas es que el tema se exagere, créeme
que pesará siempre más en la balanza del productor, aunque se pierda
rigor técnico. Ya partimos del supuesto que lo que nos cuentan en
las películas es demasiado bonito para ser real, pero lo único que
pedimos es que la película/serie no pase de ser clasificada de
acción a ciencia ficción.
Lorenzo: Me permito añadirte algo que no me has preguntado, pero que según lo que estoy viendo últimamente, empieza a ser una tendencia preocupante. Ya sea por el cine, como por lo que se publica en algunos blogs, se está generando un nivel de paranoia en la sociedad, en la que mucha gente empieza a pensar que su teléfono móvil o su ordenador está pinchado o comprometido. En los últimos 3 meses, me han llegado casi 10 casos en los que la gente cree que su teléfono o su ipad hace cosas raras, que le han extraído la información y que una agencia gubernamental los espía. Al final, terminas ejerciendo más como psicólogo que como perito informático forense. Me pregunto hasta qué punto el cine, las series y las noticias pueden estar siendo capaces de hacer tanta mella en la conciencia de gente sencilla, que atribuye a determinada sucesión de casualidades, una película que pasa de ser de hackers a terror.
Lorenzo: Me permito añadirte algo que no me has preguntado, pero que según lo que estoy viendo últimamente, empieza a ser una tendencia preocupante. Ya sea por el cine, como por lo que se publica en algunos blogs, se está generando un nivel de paranoia en la sociedad, en la que mucha gente empieza a pensar que su teléfono móvil o su ordenador está pinchado o comprometido. En los últimos 3 meses, me han llegado casi 10 casos en los que la gente cree que su teléfono o su ipad hace cosas raras, que le han extraído la información y que una agencia gubernamental los espía. Al final, terminas ejerciendo más como psicólogo que como perito informático forense. Me pregunto hasta qué punto el cine, las series y las noticias pueden estar siendo capaces de hacer tanta mella en la conciencia de gente sencilla, que atribuye a determinada sucesión de casualidades, una película que pasa de ser de hackers a terror.
24 enero 2016
- Abierto el registro de asistentes para Rooted CON 2016
- En la página de registro para el contreso de RSA solicitan usuario y contraseña de twitter en texto plano
- Otra puerta trasera supuestamente deliberada detectada en dispositivos de videoconferencia de la marca AMX
- Desde Offensive Security lanzan una nueva distribución de Kali llamada Kali Rolling 2016.1, que consiste en una Debian pero en su rama testing
- En El Confidencial sobre los hackers del cine y de la televisión, incluyendo las entrevistas realizadas a Lorenzo y un servidor
- Vídeos de las ponencias de las IX Jornadas STIC CCN-CERT
- Análisis y explotación de la vulnerabilidad en el kernel de linux que permite escalada de privilegios (CVE-2016-0728)
- Distribución vulnerable deliberadamente de firmware para routers
- En Hackplayers enlazan la recopilación de videos de congresos de seguridad de 2015 por PaulSec.
18 enero 2016
Hace casi un par de años que contactó conmigo el periodista Roberto Ruiz Ballesteros, formulándome unas preguntas que servirían como fuente para un libro que estaba escribiendo el conocido Alejandro Suarez Sanchez-Ocaña, autor del libro "Desnudando a Google".
Para mí fue un placer contestar las preguntas formuladas y estuve a la espera de noticias de Alejandro, para la publicación del mismo.
A finales de 2015, recibí un correo en el que se me invitaba a la presentación de un libro llamado El Quinto Elemento, que como pude comprobar posteriormente, tuvo una gran repercusión mediática.
El evento se celebró en la antigua discoteca Pachá de Madrid, con speech del presidente de Ediciones Deusto y de Alejandro, dando sentido a todo un despliegue de "chicas soldado" con una careta dorada de Guy Fawkes, a modo de escoltas. Fundamentalmente explicó, al igual que se hace en el libro, que la Tercera Guerra Mundial no tiene fecha, sino que ya ha comenzado y que el elemento en el que se está desarrollando es el Quinto Elemento: el Ciberespacio.
Por supuesto, aproveché para hacerme con una copia firmada del libro, y comencé a devorarlo en los pocos momentos sueltos que me quedaban a fin de año.
La obra es bastante interesante. Para mi gusto, la parte más curiosa es en la que se habla de espionaje industrial, así como de ciberguerra, en los que el autor narra diversas historias relacionadas con las acciones que se llevan a cabo para espionaje entre países. Agencias de gobiernos como el chino, americano o israelí se lo pasan bomba adelantándose a averiguar qué está haciendo el contrario. Incluso el gobierno francés espió, según se dice en el libro, al gobierno de Zapatero para ver cuáles serían los pasos del equipo socialista ante la crisis económica. Para ello reutilizó un malware llamado Babar, que habían utilizado previamente en Irán para otros menesteres.
El Quinto Elemento habla de ciberguerra, ciberterrorismo, ciberseguridad y un montón de cosas más que empiezan por “ciber”. Asimismo se tocan temas ya manidos como la Deep Web, las revelaciones de Edward Snowden y el Internet de las Cosas, así como la explicación de diversas campañas de tipo Advanced Persistent Threat, pero todo ello explicado de una manera amena, con un lenguaje fresco, que deja entrever las preferencias y expresiones del autor ante determinados temas.
En mi experiencia, la compra de este libro fue muy recomendable, porque no se me hizo aburrido ni un capítulo y me enteré de cosas que no sabía.
Y diréis: claro, ¡cómo no lo va a recomendar Lorenzo, si ha participado en el libro y seguro que hasta aparece en él! Pues estáis equivocados, finalmente decidieron que no hubiera testimoniales, menciones ni créditos, por lo que soy totalmente objetivo en la recomendación.
Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas:
Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas:
1. ¿Le sorprendió cuando salió a la luz que la NSA espiaba a dirigentes aliados? ¿Por qué?
Sinceramente, no. Cuando no sabes quiénes son tus amigos y quiénes
tus enemigos, lo mejor es espiar a todos y así sales de dudas. La
NSA es el caso que está en boca de más gente, pero todas las grandes
superpotencias y países con menor poder ciber-armamentístico (como
España, por ejemplo) tienen la capacidad de llegar muy lejos en
cuanto a técnicas de ciberguerra y espionaje informático se refiere.
Países como Rusia, China, Reino Unido o Estados Unidos disponen de
unos adelantos que ni siquiera imaginamos. Lo que vemos ahora en las
noticias, así como las piezas de malware que van apareciendo,
vulnerabilidades puestas "a posta" como Heartbleed por ejemplo,
están ahí desde hace años y salen a la luz ahora. Las
vulnerabilidades que se estén utilizando con fines de ciberespionaje
ahora mismo, las conoceremos dentro de varios años, y será un shock
inmenso... y así podremos seguir sucesivamente.
Es muy difícil para un país que tiene ese poder, aprovechar esas
técnicas únicamente a los países que puedan suponer un peligro. Para
ser el primero de todos, en un mercado tan competitivo, en el que la
ética está en un segundo plano, hay que adelantarse a lo que hacen
los demás, sean amigos o enemigos.
2. ¿Cree que pudo haber dirigentes que se rasgaran públicamente las vestiduras al conocer el espionaje masivo aunque en el fondo conocían que esto pasaba?
No me cabe la menor duda de ello. Y ahora todo son buenas
intenciones para regular lo que se puede y lo que no se puede
espiar, en las que si no se cumplen, y se descubren a los
infractores, seguramente se les castigará con una sanción económica.
¿Y qué? Se paga la sanción económica y se argumenta cualquier
necesidad o sospecha. El ejemplo más claro con que las leyes no son
para todos, son aquellas relacionadas con el respeto al medio
ambiente. Los países prefieren pagar las sanciones que acarreen la
emisión del exceso de CO2, o incluso comprar su cuota a otro país, a
costa de incrementar su PIB... Mientras el castigo sea económico,
hay países que lo asumen y ya está.
Todos los países destinan partidas de presupuesto libres de
explicaciones (o fondos reservados) a programas de espionaje y
defensa (tanto en el mundo físico como para ciberguerra). Por tanto,
que se descubra que un país espía a todos los demás, no sorprende
porque todos hacen lo mismo con todos: "The knowledge is the power"
3. ¿Cualquier persona con ciertos conocimientos técnicos puede espiar a otro, hackearle o robarle documentos confidenciales?
No es tan tan trivial como se plantea en la pregunta, pero digamos
que hay personas, grupos y organizaciones, en general, fuertemente
motivados económicamente, que son capaces de maquinar un plan basado
en diferentes técnicas, que no tienen por qué ser de hacking de
sistemas puramente, para conseguir información de determinados
sitios. Cierto es que con suficiente presupuesto, es posible comprar
vulnerabilidades aún no publicadas (los llamados zero-days) así como
desplegar malware desarrollado a medida, no detectable por software
antivirus, por lo que acotando mucho a los orígenes como los
destinos, se puede decir que sí.
4. ¿Considera que la legislación está a la altura de las posibilidades técnicas que hay para espiar o esto es una ciberguerra en la que se impone la ley del más fuerte?
En mi opinión, la legislación va siempre con años de retraso ante
los delitos de hoy en día. Es más, la legislación depende de cada
país. En cuanto a lo que en nuestro país consideramos como delitos
informáticos, hasta donde yo sé, no están tipificados como delitos
en tratados de derecho internacional. Cuesta un montón de tiempo
poner de acuerdo a gente de culturas similares para que aprueben una
ley, como para poner de acuerdo a todos los países a la vez... En
cuanto a ciberguerra se refiere, no hay Tratados de Ginebra, aquí sí
que todo vale y nada se respeta, como ha quedado patente, ni la
intimidad de los inocentes usuarios.
5. ¿Es posible establecer acuerdos entre países para evitar el ciberespionaje?
Acuerdos se pueden establecer todos los que se quiera. Que se
respeten es otra cosa. La diferencia entre una
"tregua/pacto/acuerdo" para la paz "física" es algo palpable y
comprobable. En el caso de la ciberguerra, ocultar tu origen es más
sencillo, por lo que el riesgo a que te pillen cuando el espionaje
entre gobiernos se trata, es aún menor.
6. ¿Entiende que el espionaje ha existido siempre y siempre existirá?
Desde que ha habido guerras en las civilizaciones, ha existido la
necesidad de saber qué hace el bando contrario. La idea es siempre
la misma, adelantarte a sus ataques y poder defenderte, o atacar en
un momento que sabes que no tienen defensa. Ya en la Segunda Guerra
Mundial, los ingleses, con Alan Turing a la cabeza, y gracias a las
investigaciones que comenzaron los polacos, fueron capaces de
descifrar los mensajes cifrados con la máquina Enigma, que enviaban
los alemanes.
Igualmente, tal cual los libros y las películas de Hollywood nos han
mostrado una y otra vez, la necesidad de saber qué hacen los demás,
ha existido siempre y siempre existirá. Sucede en muchos sectores de
nuestro entorno, aunque los que más impacto nos produce su
descubrimiento son los relacionados con la revelación de secretos
industriales, económicos y por supuesto en el que los protagonistas
son los servicios de inteligencia de superpotencias mundiales (es
decir, gobiernos).
7. ¿Entiende que hay algunos consejos que se pueden dar a la ciudadanía para evitar que le espíen?
El problema es más complejo de lo que parece, porque si queremos
estar adaptados al siglo en el que vivimos, tenemos obligatoriamente
que ser consumidores de servicios online, modas que hacen que nos
quedemos atrás si no lo hacemos. No me refiero a la interacción con
redes sociales, que hay gente que incluso no tienen cuentas.
Simplemente el hecho del envío de un correo electrónico no cifrado
desde el origen (es decir, utilizando una tecnología bastante vieja:
PGP/GPG) es susceptible de ser monitorizado. La utilización de
dispositivos inteligentes como smartphones o tablets que tienen una
conexión con Internet, que hacen backups "automáticos" en la nube,
que se comunican con el fabricante de forma silenciosa y no
controlable por el usuario, ya nos hacen susceptibles de ser
espiados. Nuestras llamadas de teléfono ya sea fijo o móvil, en
algún punto de las operadoras irá en claro, y en ese momento, aunque
sea por el prestador del servicio, estamos a su merced. Si un juez o
un servicio de inteligencia decide que eres sospechoso y que tus
conversaciones son importantes para un determinado caso, alguien más
aparte de tu interlocutor, sabrá de lo que has hablado, sea o no
relevante. Obviamente, si se quiere vivir en el siglo que marca el
calendario, no se puede vivir desconectado del mundo, por lo que hay
que asumir algunos riesgos a la hora de usar ciertos servicios.
Sin embargo, es sabido que Google, que nos ofrece un sinfín de
servicios de forma gratuita a cambio de "nada", procesa nuestras
comunicaciones para ofrecernos publicidad adecuada y afinada, en
base al contenido de lo que hablamos.
En los últimos años, el programa rey de mensajería instantánea que
utilizamos es Whatsapp. Se ha demostrado varias veces que, desde las
primeras versiones, éste es inseguro. Inicialmente, las
conversaciones iban en claro (lo que en determinados entornos
wireless hace que puedan leerse las conversaciones), el proceso de
autenticación era vulnerable a suplantación, etc,... Con la compra
de Whatsapp por parte de Facebook, a los usuarios se nos abren todo
tipo de nuevos miedos, puesto que la política de privacidad de
Facebook es bastante más relajada y si bien podía darse el caso de
usuarios que no tuvieran cuenta en la red social, pero sí utilizasen
Whatsapp ¿qué pasará con sus conversaciones futuras? ¿y con las
pasadas?
Si bien han surgido una miríada de alternativas como Snapchat,
Viber, Line, etc,... parece que a día de hoy (20/05/2014) es
Telegram la que plantea un paradigma basado en la seguridad desde
todos los puntos de vista, con la posibilidad de cifrado de las
comunicaciones, auto-destrucción de las mismas, etc,... El problema
sigue siendo el de siempre: nos tenemos que fiar que el proveedor de
servicio en Rusia, respete nuestra privacidad y los datos
almacenados en sus servidores no sean utilizados para otra cosa
8. En su opinión, ¿qué grandes cambios ha aportado la tecnología al espionaje?
Como medio por el que los usuarios podemos ser espiados, los avances
tecnológicos de los últimos 50 años han llevado como denominador
común la utilización de ordenadores y servidores conectados entre sí
para generar la evolución de todo lo que conocemos, para hacernos la
vida más fácil. Desde el sector industrial, pasando por el personal
(los que llevamos un smartphone en el bolsillo, llevamos un
ordenador encima), domótica en nuestras casas (para hacernos la vida
más cómoda), social (todo se hace desde ordenadores, incluso la
declaración de la renta), etc... Habiéndose cumplido con creces el
sueño de Bill Gates, en el que cada hogar tiene un ordenador (y
bastantes, más de uno), y siendo el software (y a veces el
hardware), susceptible de diferentes vulnerabilidades que permiten
comprometer dispositivos completos, esta claro que el habernos
ligado tanto a la tecnología para nuestro quehacer diario, nos pone
en el punto de mira para poder ser espiados.
Como medio para poder espiar, está claro que la tecnología sirve
como herramienta, a aquellos que quieran espiarnos, para poder
llevar a cabo sus objetivos cómodamente y en remoto. Incluso
utilizando soluciones de cifrado en comunicaciones o en la
protección de nuestra información, gracias a la tecnología y la
computación distribuida, es posible romper esquemas de cifrado, en
tiempos récord, que en otras épocas era impensable.
9. Estamos en un momento de debate sobre el espionaje preventivo. ¿Tienen razones millones de personas para pensar que están siendo espiados por grandes corporaciones y gobiernos o se trata simplemente de un cambio de modelo social al que debemos acostumbrarnos?
Por supuesto que sí. En muchos casos de forma justificada y por
"seguridad nacional" (sobre todo en USA escudándose en el Patriot
Act) parece que hay carta blanca para poder hacer cualquier cosa.
Desde poner puertas traseras en dispositivos hardware que
interconectan tráfico en Internet, hasta introducir vulnerabilidades
como Heartbleed o debilidades en protocolos de cifrado, conocidas
por no se sabe quién, con el fin de poder acceder a información
sensible de usuarios. Y esto es lo que sabemos... seguramente la
punta del iceberg de lo que realmente puede existir, que nos
parecería ciencia ficción.
Si pensamos en malware hecho a medida o ataques dirigidos en
entornos industriales (como la Operación Aurora en Google China,
malware como Stuxnet, Duqu, Flame, Careto, etc,...) que llevan años
ejecutándose hasta haber sido descubiertos, con unos niveles de
sofisticación increibles y explotando vulnerabilidades 0Day
impensables, lo que se puede estar gestando para espiar en los
próximos años escapa a nuestras mentes.
Las revelaciones expuestas al mundo por parte de Julian Assange o
Edward Snowden por ejemplo, no hacen más que abrirnos los ojos ante
lo que realmente sucede por parte de gobiernos, y la colaboración
entre diferentes empresas punteras en tecnología a la hora de
incluir puertas traseras en su propio software/hardware para poder
permitir acceso cuando sea necesario.
10. ¿Existe la privacidad total una vez que un individuo tiene un ordenador o smartphone y está conectado a internet?
Rotundamente NO. De hecho, no existe la privacidad total, y en
muchos casos, dependiendo de las condiciones de la conexión y del
dispositivo utilizado, ni siquiera la privacidad parcial. Muchas
veces somos nosotros mismos, los usuarios, los que enviamos a las
empresas nuestra propia información. Somos nosotros los que
conscientemente enviamos, con fines de backup, el historial de
llamadas que hacemos desde un dispositivo móvil (obviamente, no el
contenido de la llamada, pero sí el origen, destino, fecha/hora y
duración de la llamada). Aunque por otra parte, somos incapaces de
saber si el contenido de la llamada está siendo grabada o procesada
en algún otro sitio. De hecho, proyectos como Echelon o Carnivore
por ejemplo, llevan operando desde hace años analizando nuestras
comunicaciones en busca de posibles amenazas a algunos gobiernos.
17 enero 2016
- GRAVE vulnerabilidad del cliente de OpenSSH que permitiría la fuga de claves privadas
- Primeros ponentes confirmados de Rooted CON 2016
- En Krebs On Security, cómo funcionan los call centers de los cibercriminales
- Hacker de 26 años en Turquía condenado a más de 334 años de prisión por diversos delitos de fraude telemático
- La semana que viene, más concretamente el 19 de Enero, primera tarde técnica gratuita de Abirtone, con diferentes charlas sobre Hacking
- Brecha de seguridad en los datacenters de Interxion expone los datos de miles de clientes
- Servidor local HTTP del antivirus de TrendMicro permitiría ejecución de comandos según ha reportado Tavis Ormandi
- Backdoor SSH en dispositivos Fortigate desde la versión 4 hasta la 5.0.7
- Publicadas las charlas de la pasada No cON Name 2015 en su cuenta de Vimeo
- Explotabilidad de los fallos en Internet Explorer/Edge
11 enero 2016
Como cada año en pleno huracán carnavalero los chicos de Hackron organizaran su tercera edición los días 5 y 6 de Febrero en la capital Santa Cruz de Tenerife (Islas Canarias), siendo el evento de seguridad por excelencia en el archipelago, combina sus jornadas de conocimiento que terminan en una improvisada Rio de Janeiro, todo ello bajo un clima espectacular con 20Cº de media, razones de peso para no dejar indiferente a sus visitantes.
La agenda está prácticamente cerrada con ponencias confirmadas de grandes expertos como;
Deepak Daswani, Pedro Laguna, Pedro Sanchez, Pedro Candel, Juan Garrido, Igor Lukic, Jose Pico, Josep Albors, Luis Delgado, Lorenzo Martinez, Cecilio Sanz, Jose Luis Verdeguer ,Miroslav Stampar
El evento promete un desafío muy divertido; tomar el control de un robot “armado”, teóricamente el “atacante” deberá afinar no solo su estrategia ofensiva sino también su puntería, la organización anunciara el reto próximamente.
El congreso tendrá intervenciones tanto de la Guardia Civil (GDT) como del cuerpo de la Policía Nacional (UIT), por no mencionar la Keynote de Miroslav Stampar que vendrá en representación del CERT de Croacia, dando una visión del campo de batalla que supone estar detrás de este tipo de organizaciones.
Si planeas darte un salto a Canarias con una buena excusa te recomendamos no esperar el último segundo, las tasas aéreas junto a la ocupación del 99% de Hoteles en esas fechas son razones suficientes para adquirir tú entrada hoy mismo.
Se estiman que las 220 plazas se vayan a llenar mucho antes de lo esperado. Las entradas están puestas en la venta y se pueden adquirir a través de la web de @Hackr0n en http://www.hackron.com
Esperamos verles muy pronto!
Artículo cortesía de Equipo Hackron
10 enero 2016
- Nueva versión de Kali NetHunter 3, suite de test de intrusión sobre dispositivos Android
- Nuestro compañero Lorenzo en El Confidencial sobre cómo destruir un disco duro sin dejar información recuperable
- En Nirsoft, nueva herramienta, WifiHistoryView, permite ver un historial de conexiones a redes inalámbricas
- Linode envía a sus usuarios un aviso para restablecer la contraseña como notificación de seguridad
- Boletín de Enero de 2016 sobre la herramienta ZAP de OWASP
- Abierto el registro para la SyScan 360
- Denegación de servicio sobre la página oficial de la campaña del candidato Donald Trump
- ChromeForensics, herramienta para realizar análisis forenses automatizados sobre navegadores Chrome y sus variantes
- Detectando salidas Tor realizando sniffing detectando pasivamente una única petición DNS
04 enero 2016
Cuando se quiere realizar un APT (Advanced Persistent Threat) a una empresa o a una organización, uno de los aspectos fundamentales es conocer su esquema de direccionamiento IP interno que utiliza y, si es posible, cuál es su arquitectura de red para, por ejemplo, ver si tienen zonas desmilitarizadas y a partir de ahí poder inferir cuántos routers/firewall configuran su sistema de protección perimetral.
Figura 1. Fugas de Información en routers MikroTik. |
A parte de lo anterior, resulta muy interesante conocer, si es posible, el nombre de alguno de sus empleados y, por qué no, también el del administrador o administradores de la propia red.
Con toda esta información se puede plantear incluso el realizar algún ataque de Ingeniería Social.
Router Mikrotik
Estos routers son muy conocido dentro de las redes debido a su buen funcionamiento y bajo coste y son una alternativa a otro tipo de marcas en elementos de electrónica de red como puede ser CISCO. El sistema operativo que incorporan estos dispositivos es RouterOS y trae muchas características avanzadas de configuración.
Figura 2. Sistema operativo RouterOS y servicio asociado al puerto 80 TCP. |
Entre las característica que incorpora RouterOS, cuenta con un servidor web que sirve para una configuración más cómoda con un entorno gráfico bajo HTTP más agradable, en lugar de utilizar los comandos propios del sistema operativo a través de una shell.
Es precisamente la configuración por defecto de este servicio el que va a permitir realizar el descubrimiento de recursos de la red de la organización como veremos a continuación.
Búsqueda de un patrón para realizar Dorking
Para poder aplicar técnicas de dorking, el primer paso es buscar un patrón común a estos dispositivos a partir del cual poder extraer más información utilizanzo los principales motores de búsqueda. Para ello, lo primero es obtener direcciones IP de estos dispositivos, por ejemplo, utilizando Shodan.
Búsqueda de un patrón para realizar Dorking
Para poder aplicar técnicas de dorking, el primer paso es buscar un patrón común a estos dispositivos a partir del cual poder extraer más información utilizanzo los principales motores de búsqueda. Para ello, lo primero es obtener direcciones IP de estos dispositivos, por ejemplo, utilizando Shodan.
Figura 3. Búsqueda de routers Mikrotik. |
Una vez localizados estos dispositivo, lo siguiente será tratar de obtener el nombre de los recursos que están en su servidor web, como pueden ser nombres de ficheros, de directorios, etcétera. El nombre de estos recursos y el comportamiento del servidor web serán quiénes nos den el patrón para las técnicas posteriores de dorking.
Para el descubrimiento de estos recursos, empleamos técnicas de spidering. ZAProxy es una buena herramienta para realizar el descubrimiento de recursos:
Figura 4. Recursos descubiertos por el spider de ZAProxy. |
La petición que genera la respuesta anterior es http://115.x.x.x/graphs/, luego un posible patrón a utilizar en las técnicas de dorking puede ser para el texto “Traffic and system resource graphing” y para la url “graphs”. Usando Google, podemos emplear el siguiente dorking:
Figura 5. Resultados después de realizar Google Hacking. |
Uno de los resultados devueltos por Google es el siguiente:
Figura 6. Router Mikrotik con 5 interfaces de red. |
Observamos cómo, debido a una configuración insegura por defecto del servidor web del router, podemos ver el número de las interfaces de red y el nombre de cada una de las redes que comunica. De la información anterior, podemos inferir que es un único router quien comunica la red interna de la organización con la DMZ y los recursos de la DMZ con Internet.
Además, es muy probable que tenga un firewall con reglas de entrada y salida para el tráfico de la organización. Si pinchamos encima de una de las interfaces, podemos ver el tráfico de red que pasa por ella:
Figura 7. Tráfico de red que atraviesa la interfaz de la DMZ de la organización |
Es más, a partir de la información de las interfaces de red podemos inferir un posible esquema perimetral de defensa de la organización:
Figura 8. Diagrama “retro” de la posible defensa perimetral de la red de la organización. |
IP Private Disclosure políticas
Los resultados anteriores son consecuencia de una mala configuración por defecto del servidor web que permite hacer un listing de los recursos que almacena.
Esta situación se puede aprovechar para intentar extraer también cuál es el esquema de direccionamiento interno de la organización aplicando técnicas de hacking con buscadores con los dorkings que hemos comentado anteriormente.
Sólo tenemos que añadir los prefijos de direccionamiento privado que queramos encontrar. Por ejemplo, si queremos extraer el esquema de direccionamiento privado sobre IPv4 para una red de clase C, podemos emplear el siguiente dorking:
Figura 9. Extracción de direccionamiento privado de clase C sobre IPv4. |
Seleccionando uno de los resultados devueltos por Google, podemos ver cuál es el esquema de direccionamiento interno de la red interna, así como tener acceso a datos referentes a uso de CPU, memoria y almacenamiento en disco.
Figura 10. Información de la red interna de la organización. |
En la figura anterior puede verse que, asociada a cada una de las direcciones IP de la red interna, es posible que éstas tengan algún tipo de política en las colas relacionada con la QoS (Quality of Service), seguramente relacionadas con la velocidad de subida y de bajada.
Figura 11. Política de velocidad de transferencia asociada a una dirección IP (I). |
Si consultamos cuál es la política asociada a otra de las direcciones IP interna de la organización, observamos cómo, en este caso, la velocidad de transferencia es diferente:
Figura 12. Política de velocidad de transferencia asociada a una dirección IP (II). |
Observamos como la velocidad máxima permitida para la máquina con dirección IP 192.168.0.5 es mayor que la vinculada a la 192.168.0.14. Si alguien dentro de la organización quisiera tener más velocidad de transferencia, únicamente tendría que consultar cuáles son las direcciones IP que disfrutan de este privilegio, y cambiar su dirección IP, siempre y cuando se tengan los permisos para modificar la configuración de la interfaz de red, la dirección IP no esté ocupada, etcétera.
Extracción del nombre de los posibles trabajadores de la organización
Hay veces en que los administradores de red ponen nombres de personas a las políticas aplicadas a cada una de las colas asociadas a las direcciones IP de las máquinas.
Es por ello que si probamos con los dorkings anteriores a buscar el nombre de personas, es posible que encontremos el de alguno de los posibles miembros de esa organización, como se muestra en las siguientes figuras:
Figura 13. Nombres de personas vinculados a las políticas de las colas (I). |
Figura 14. Nombres de personas vinculados a las políticas de las colas (II). |
Es más, pulsando en el nombre de las personas anteriores podemos obtener información de su dirección IP interna (direccionamiento privado IPv4 de clase A) y de cuál es la política de velocidad de transferencia que tienen asignada.
Figura 15. Características del tráfico de red para una persona en concreto. |
En la figura anterior podemos ver además, para una persona en concreto, en qué franjas horarias se han producido los mayores picos de descarga. Puede que se produzcan al entrar al puesto de trabajo, después de la comida o incluso después del almuerzo.
Y es más, a partir del nombre de posibles miembros de la organización, se podría obtener, por ejemplo, información relativa a una posible matrícula de su posible coche:
Figura 16. Posible personal de la organización. |
Figura 17. Posible matrícula de coche relacionada con el auto de una posible infracción. |
Conclusiones
Para evitar toda la fuga de información que hemos visto en este artículo y poder obtener información más sensible como el direccionamiento interno de una organización, políticas de calidad de servicio en su red interna, posibles nombres y apellidos de miembros de la organización, inicialmente podría pensase acceder al router para su administración únicamente a través del servicio SSH, es decir, dejar únicamente el puerto 22 TCP abierto para la administración del dispositivo y nunca hacerlo mediante el servicio HTTP.
Aún así, como vimos los que hicimos el curso Attack and Hardening en GNU Linux, si se quiere una administración remota del sistema, para cualquier puerto de administración, podría establecerse permisos únicamente para un pool de direcciones IP fijas y de confianza o, simplemente, realizar la administración del dispositivo desde la red interna de la organización, nunca desde Internet.
Colaboración por cortesía de: Amador Aparicio de la Fuente
03 enero 2016
- Abierto el proceso de solicitud de ponencias (Call For Papers) de la Hack In The Box 2016 Amsterdam que se celebrará a finales de Mayo.
- Como mejorar tu web para obtener las mejores calificaciones de seguridad
- Muere el fundador de Debian Ian Murdock tras denunciar por twitter un supuesto abuso policial
- fail0verflow vuelven con la instalación de linux en PS4 presentada en lightning talk de CCC
- Disponibles todas las charlas de la 32C3, el congreso del CCC
- Vectores de ataque y contramedidas en Cloud Computing
- Publicación de Binwalk v2.1.1
- TOR se apunta a la moda de los Bug Bounty, abriendo el suyo propio a través de HackerOne
¡Os deseamos una feliz entrada de año
desde Security By Default!
Suscribirse a:
Entradas
(
Atom
)