31 enero 2016

Enlaces de la SECmana - 313


Leer más...

25 enero 2016

La imagen de los hackers en Hollywood




Hace unos días me contactó Lucía Caballero, periodista de El Confidencial, con un formulario de preguntas sobre cómo se veía actualmente la imagen de los hackers. Cuando este sábado se publicó el artículo, ví que mi amigo y compañero de blog Jose Antonio Guasch también había sido consultado para el mismo, y ninguno de los dos sabíamos que habíamos sido contactados por la misma periodista, para el mismo cometido. 


Sin embargo, tanto Guachi como yo, tras pedir autorización a la autora, hemos querido compartir en el blog íntegramente el formulario de preguntas y respuestas que cada uno dimos a su correo. 

Lucía: - ¿Has visto la película Blackhat? ¿Qué opinas de la manera en que representa a los ‘hackers’?
José Antonio: Sobre la película de Blackhat opino que la parte positiva es que en determinados momentos se utilizan términos concretos no inventados sobre amenazas reales, como ha sido la campaña de malware Stuxnet. Al público general no le sonaría (como cuando en CSI o en otro tipo de series se mencionan tecnicismos muy específicos), pero si que suenan muy familiares a las personas interesadas en el mundo de la seguridad informática y está al día en esa temática de noticias. De todas formas, como reflexión final, decir que la película la vi como una más de acción con tema de ciber como hilo principal, como ocurrió con la cuarta de Jungla de Cristal. En el blog en el que participo como editor (Security By Default), tenemos a una crítica sobre la película http://www.securitybydefault.com/2015/02/cine-de-hackers-blackhat-2015.html

Lorenzo:     En la película Blackhat se ven tres tipos de perfiles diferenciados: El malo, un ciberdelincuente que decide ganar dinero mediante operaciones fraudulentas, para las que se infiltra en sistemas informáticos de organizaciones gubernamentales; el prota, un ex ciberdelincuente con el que negocia una potencia extranjera su libertad total a cambio de que les ayude a "pillar al malo"; los funcionarios de diferentes agencias de inteligencia que tienen que unirse en la búsqueda del malo y que cuentan con medios inimaginables a su alcance para doblar las leyes a voluntad y conseguir lo que sea en tiempo record.
Como película me parece bastante lenta y creo que no aporta nada nuevo, pero entretiene al espectador, hay persecuciones, pantallas con terminales, código fuente y caracteres binarios, además de una chica guapa,... y eso en el cine, es lo que vende.


Lucía: - ¿Y la serie Mr. Robot? ¿Qué opinas de ella?
José Antonio: Con Mr.Robot tengo sentimientos encontrados: Por una parte, técnicamente es de lo mejorcito que hay junto con algunas películas, y en ella se pueden ver tanto técnicas como herramientas reales relacionadas con la seguridad/hacking. El problema que le veo es que en el personaje de Elliot que interpreta Rami Malek de forma magistral, es el típico asocial, marginado, con problemas de adicción, oscuro y siniestro. Me hubiera gustado más ver algo parecido como con el personaje de la serie Dexter, una persona totalmente normal, pero con un "oscuro pasajero" que necesita actuar en según que momentos. Pero por lo demás, un 9.5
Lorenzo: Esta serie ha supuesto una revolución en el sector, tanto por las partes más técnicas como por la representación de la "filosofía hacker" que hay en ella. Un protagonista que a lo Robin Hood, utiliza sus amplios conocimientos de hacking para defender a quienes lo merecen. Sin embargo, el papel de chico hacker, sufre varios problemas de adicción a las drogas, así como una patología mental importante. Para mi gusto, y pese a que se han esmerado y contado con asesores que piloten en materia de seguridad informática para no ver direcciones IP imposibles ni cosas que "técnicamente no sean viables", han dedicado demasiados metros de película a los problemas mentales del chico, y me dejó con un sabor un tanto agridulce en los últimos capítulos.
Lucía: - ¿Y sobre la serie Silicon Valley?
José Antonio: Es de las series más divertidas que he visto en mucho tiempo, me encanta la crítica que se hace del mundillo-burbuja startup sobretodo en un sitio con tanta competencia. No la veo asociada con el mundo hacking, si quizás con el geek. Cabe destacar un capítulo en el que por necesidades de la trama en la que se encontraban si que estaba relacionado con temas de hacking, y que contaron con Rob Fuller “mubix” como Technical Advisor, que ha estrado trabajando desde siempre como ingeniero de seguridad informática, y que ha sido parte importante del vidcast Hak.5. En este post de su blog cuenta como fue la experiencia: http://www.room362.com/2015/09/tres-lessons-from-pied-piper-delete-key.html

Lorenzo: Ni idea, esta no la he visto.
Lucía: - ¿Podrías decirme algo de cada una que te haya llamado la atención positivamente? ¿Y negativamente?

Lorenzo: Como en muchas de las películas de acción de vidas pasadas y presentes, se plasman acciones que en algunos casos son imposibles, y en otras, aunque viables, son improbables, o que en la vida real es más fácil que te toque la lotería a que pueda hacerse realidad. Es lo mismo que en otros géneros en los que no hay ordenadores, pero que el protagonista siempre sobrevive a un accidente de tren, otro de avión, le pega una paliza a diez contrincantes a la vez y... sigue vivo para conquistar a la chica. Una sucesión de hechos que venden y entretienen, pero que no aportan nada.

Lucía: - También me gustaría saber qué te parecen algunas anteriores. Por ejemplo, The Net, Hackers o la serie CSI: Cyber. Y si hay alguna que te haya gustado o decepcionado especialmente, y por qué.
Lorenzo: Dentro de las películas relacionadas con cine de hackers, destacan como clásicos Wargames, The Net, Sneakers, Hackers o incluso la trilogía de Matrix, que son grandes clásicos que no me canso de ver de vez en cuando. Ojo, la serie CSI Cyber, en mi opinión, no merece estar en esta lista por la cantidad de imprecisiones, exageraciones y másdelomismo que ofrece.
Hasta ahora, la película que menos me ha gustado, relacionada con seguridad informática ha sido Reboot http://www.securitybydefault.com/2013/01/cine-de-hackers-reboot-2012.html

Lucía: - ¿Cuál crees que es la causa por la que los cineastas se molestan cada vez más en consultar a un experto en ciberseguridad para que las películas y series parezcan más realistas? ¿Es por las críticas de la comunidad hacker o también porque el público en general cada vez está más informado de estos asuntos?
José Antonio: Yo creo que para hacer una buena película siempre conviene documentarse al máximo, sobretodo si el tema es claro protagonista de la trama. El inconveniente como es obvio es que cuanto más se profundiza, más te arriesgas a que el público que simplemente quiere entretenerse desconecte. Lo bueno es que cada vez más el tema de la seguridad ha dejado de estar presente en algunos blogs y páginas, y ha alcanzado los medios tradicionales. Yo creo que es gracias a que ahora estamos todos más conectados.

Lorenzo: Las noticias relacionadas con delitos informáticos, aparecen día sí, día también en diferentes medios de comunicación. La industria del cine, llevando a la gran pantalla actividades cotidianas de los seres humanos, tienen que incluir la interacción con dispositivos que pueden ser comprometidos. Por ello, y en vistas de intentar ser lo más rigurosos posibles, las productoras deben acudir a asesores en materia de seguridad informática que les orienten en la forma de hacer las cosas. El problema, a mi entender, viene cuando el productor pide que se vean acciones épicas, como construir un malware en 5 minutos, que es 100% efectivo en el ordenador de la víctima y que le permite al protagonista un control total... Las críticas de la comunidad van a seguir existiendo ante esas epicidades, como las que podría hacer un médico viendo Dr. House.
En general, el malentendido se produce en la parte en la que se "traduce" los tecnicismos y lo que realmente es posible, en aquello que vende y que cualquier espectador puede entender.


Lucía: - ¿También influye que ser hacker se entienda cada vez más como un oficio y no como una actividad delictiva?
José Antonio: En la televisión y en otros muchos sitios, cuando se habla del hacker siempre se asocia con actividades delictivas. En casi todas las películas que el protagonista quiere recurrir a su amigo “el hacker”, siempre aparece de la misma manera, escondido en un sótano con 13 pantallas y muchos cables y placas base en la mesa. Salvo algunos casos concretos, no se recurre al “consultor/ingeniero de seguridad”, que podría ser el nombre del oficio más relacionado.

Lorenzo: Ser hacker no es sólo un oficio, sino una forma de entender las cosas y de vivir la vida. Ser hacker, según mi entender, es ir más allá ante el funcionamiento actual de las cosas, las ganas incansables de investigar, tener curiosidad y actitud para aprender y ser capaz de diseñar e implementar soluciones a problemas de forma ingeniosa y eficiente. El problema es que el concepto Hacker se ha instrumentalizado para todo aquello que implique "un tío detrás de varios monitores, con gafas de sol, camiseta negra y una sudadera con capucha, pizza y rap o música electrónica sonando de fondo, tecleando a toda pastilla". Esta imagen, provoca en quien lo ve la sensación que el protagonista está robando un banco o entrando en la NASA... cosa bastante improbable, aunque la experiencia haya demostrado, que ha sido posible. Además que aunque la estética hacker se haya categorizado de esa manera, no quiere decir que todo el que lleve sudadera, gafas de sol y una camiseta con un pingüino sean hackers. Conozco excelentes profesionales y expertos en seguridad que visten con camisa y hasta con traje! Y es que en este caso, el hábito tampoco hace al monje.
Creo que es un error mitificar la estética o la personalidad de determinado colectivo porque el cine nos quiera vender que los hackers son gente asocial, llena de granos y rodeados de cajas de pizza vacías. Esto, no es así.

Lucía: - ¿Te parece que se solía (y en algunas casos se suele) mostrar en las pantallas de sus ordenadores letras verdes o gráficos en 3D para que a la gente le parezca algo extraordinario y complejo?
José Antonio: ¡No se daban cuenta que es mucho más fácil recurrir a un código fuente que gastar dinero en tantos efectos especiales! En realidad pienso que se creían que representándolo así encajaría más con el público, pero ahora mismo, que el uso de los ordenadores está tan extendido, todo el mundo sabe cómo es un ordenador y lo que ocurre al encenderlo. Recomiendo esta página http://moviecode.tumblr.com/ en la que se muestran capturas tanto de televisión como de películas en las que la gente caza código fuente, para saber a qué podría corresponder. Se ven casos muy curiosos.
Lorenzo: Es parte del escenario que te decía antes. No hay película de hackers en la que no aparezca un mapa del mundo con un trazo por diferentes puntos, que simula las conexiones a través de diferentes ordenadores que está haciendo el malo en ese mismo momento, y que el FBI, es capaz de mostrar en una pantalla a los 5 segundos de haberse iniciado una conversación telefónica con el ciberdelincuente.
Lucía: - ¿Por qué crees que les ha costado tanto mostrar código y hablar de lenguaje de programación, algo más parecido a lo que es en la realidad?
Lorenzo: Las líneas de código y comandos de un sistema operativo que se suelen ver, hay que darle al botón de pausa durante un buen rato para ver qué han querido hacer, puesto que normalmente aparece la pantalla sólo durante un instante. Una vez más, debido a que el objetivo de los productores de las películas es que sea lo más global posible, no piensan en que su público vayan a ser programadores experimentados, sino todo tipo de gente "con" y "sin" conocimientos de informática.
Lucía: - ¿Crees que ha habido algún punto de inflexión en este sentido? Con alguna película, serie o con la protesta de algún hacker en particular.
José Antonio: Simplemente se ha evolucionado, y como he comentado antes, la informática, seguridad, privacidad y demás cada vez están más presentes en nuestro día a día. Fue curioso ver que en la televisión hemos tenido dos ejemplos totalmente opuestos de como representar la ciberseguridad, entre la serie CSI: Cyber (que mantiene su exageración al igual que ocurría con CSI en temas forenses) y Mr. Robot (representación fiel)
Lorenzo: Pienso que la comunidad hacker, al no estar tan "lobbytizada", no es escuchada ante las críticas. Sin ir más lejos en Security By Default solemos hacer críticas a películas, en las que hablamos de sus puntos positivos y también los negativos [http://www.securitybydefault.com/search/label/cine]. Incluso, hace años escribí un artículo en el que hablaba de los Top Fails de seguridad informática en el cine [http://www.securitybydefault.com/2010/04/top-fails-de-seguridad-informatica-en.html]
Lucía: - ¿Hasta qué punto crees que los cineastas tienen que acercarse a la realidad hacker en sus representaciones? Quiero decir que cuando muestran una persecución o el trabajo de un policía, por ejemplo, también suele estar distorsionado o exagerado.
José Antonio: Soy consciente de que en según que películas conviene acercarse al máximo a la realidad, sobretodo sabiendo que el público al que va dirigido en mayor medida tiene esas inquietudes. Hay películas como 23 o Los Fisgones que se acercan muchísimo a la realidad hacker, pero hay otras como por ejemplo Hackers, en las que las persecuciones se realizan con luces atravesando placas base y chips. Yo creo que cada vez más, los cineastas se podrán acercar más ya que actualmente es un mundo mucho más accesible y presente en nuestra vida cotidiana. Vuelvo a mencionar el blog en el que participo, ya que disponemos de una sección Cine de Hackers http://www.securitybydefault.com/search/label/cine en la que hacemos críticas de películas, series o documentales cuya temática gira sobre este tema.
Lorenzo: El objetivo de la productora es que la película sea éxito de taquilla. Si se pasan de técnica, en vez de película o serie, la clasificación sería de documental. En cualquier caso, si lo que hace que te acabes el bowl de palomitas es que el tema se exagere, créeme que pesará siempre más en la balanza del productor, aunque se pierda rigor técnico. Ya partimos del supuesto que lo que nos cuentan en las películas es demasiado bonito para ser real, pero lo único que pedimos es que la película/serie no pase de ser clasificada de acción a ciencia ficción.





Lorenzo: Me permito añadirte algo que no me has preguntado, pero que según lo que estoy viendo últimamente, empieza a ser una tendencia preocupante. Ya sea por el cine, como por lo que se publica en algunos blogs, se está generando un nivel de paranoia en la sociedad, en la que mucha gente empieza a pensar que su teléfono móvil o su ordenador está pinchado o comprometido. En los últimos 3 meses, me han llegado casi 10 casos en los que la gente cree que su teléfono o su ipad hace cosas raras, que le han extraído la información y que una agencia gubernamental los espía. Al final, terminas ejerciendo más como psicólogo que como perito informático forense. Me pregunto hasta qué punto el cine, las series y las noticias pueden estar siendo capaces de hacer tanta mella en la conciencia de gente sencilla, que atribuye a determinada sucesión de casualidades, una película que pasa de ser de hackers a terror.

Leer más...

18 enero 2016

Libro: El Quinto Elemento


Hace casi un par de años que contactó conmigo el periodista Roberto Ruiz Ballesteros, formulándome unas preguntas que servirían como fuente para un libro que estaba escribiendo el conocido Alejandro Suarez Sanchez-Ocaña, autor del libro "Desnudando a Google".

Para mí fue un placer contestar las preguntas formuladas y estuve a la espera de noticias de Alejandro, para la publicación del mismo.

A finales de 2015, recibí un correo en el que se me invitaba a la presentación de un libro llamado El Quinto Elemento, que como pude comprobar posteriormente, tuvo una gran repercusión mediática. 

El evento se celebró en la antigua discoteca Pachá de Madrid, con speech del presidente de Ediciones Deusto y de Alejandro, dando sentido a todo un despliegue de "chicas soldado" con una careta dorada de Guy Fawkes, a modo de escoltas. Fundamentalmente explicó, al igual que se hace en el libro, que la Tercera Guerra Mundial no tiene fecha, sino que ya ha comenzado y que el elemento en el que se está desarrollando es el Quinto Elemento: el Ciberespacio.

Por supuesto, aproveché para hacerme con una copia firmada del libro, y comencé a devorarlo en los pocos momentos sueltos que me quedaban a fin de año. 

La obra es bastante interesante. Para mi gusto, la parte más curiosa es en la que se habla de espionaje industrial, así como de ciberguerra, en los que el autor narra diversas historias relacionadas con las acciones que se llevan a cabo para espionaje entre países. Agencias de gobiernos como el chino, americano o israelí se lo pasan bomba adelantándose a averiguar qué está haciendo el contrario. Incluso el gobierno francés espió, según se dice en el libro, al gobierno de Zapatero para ver cuáles serían los pasos del equipo socialista ante la crisis económica. Para ello reutilizó un malware llamado Babar, que habían utilizado previamente en Irán para otros menesteres. 

El Quinto Elemento habla de ciberguerra, ciberterrorismo, ciberseguridad y un montón de cosas más que empiezan por “ciber”. Asimismo se tocan temas ya manidos como la Deep Web, las revelaciones de Edward Snowden y el Internet de las Cosas, así como la explicación de diversas campañas de tipo Advanced Persistent Threat, pero todo ello explicado de una manera amena, con un lenguaje fresco, que deja entrever las preferencias y expresiones del autor ante determinados temas. 

En mi experiencia, la compra de este libro fue muy recomendable, porque no se me hizo aburrido ni un capítulo y me enteré de cosas que no sabía.

Y diréis: claro, ¡cómo no lo va a recomendar Lorenzo, si ha participado en el libro y seguro que hasta aparece en él! Pues estáis equivocados, finalmente decidieron que no hubiera testimoniales, menciones ni créditos, por lo que soy totalmente objetivo en la recomendación.

Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas: 

1. ¿Le sorprendió cuando salió a la luz que la NSA espiaba a dirigentes aliados? ¿Por qué?

Sinceramente, no. Cuando no sabes quiénes son tus amigos y quiénes tus enemigos, lo mejor es espiar a todos y así sales de dudas. La NSA es el caso que está en boca de más gente, pero todas las grandes superpotencias y países con menor poder ciber-armamentístico (como España, por ejemplo) tienen la capacidad de llegar muy lejos en cuanto a técnicas de ciberguerra y espionaje informático se refiere. Países como Rusia, China, Reino Unido o Estados Unidos disponen de unos adelantos que ni siquiera imaginamos. Lo que vemos ahora en las noticias, así como las piezas de malware que van apareciendo, vulnerabilidades puestas "a posta" como Heartbleed por ejemplo, están ahí desde hace años y salen a la luz ahora. Las vulnerabilidades que se estén utilizando con fines de ciberespionaje ahora mismo, las conoceremos dentro de varios años, y será un shock inmenso... y así podremos seguir sucesivamente. 


Es muy difícil para un país que tiene ese poder, aprovechar esas técnicas únicamente a los países que puedan suponer un peligro. Para ser el primero de todos, en un mercado tan competitivo, en el que la ética está en un segundo plano, hay que adelantarse a lo que hacen los demás, sean amigos o enemigos.



2. ¿Cree que pudo haber dirigentes que se rasgaran públicamente las vestiduras al conocer el espionaje masivo aunque en el fondo conocían que esto pasaba?


No me cabe la menor duda de ello. Y ahora todo son buenas intenciones para regular lo que se puede y lo que no se puede espiar, en las que si no se cumplen, y se descubren a los infractores, seguramente se les castigará con una sanción económica. ¿Y qué? Se paga la sanción económica y se argumenta cualquier necesidad o sospecha. El ejemplo más claro con que las leyes no son para todos, son aquellas relacionadas con el respeto al medio ambiente. Los países prefieren pagar las sanciones que acarreen la emisión del exceso de CO2, o incluso comprar su cuota a otro país, a costa de incrementar su PIB... Mientras el castigo sea económico, hay países que lo asumen y ya está. 
Todos los países destinan partidas de presupuesto libres de explicaciones (o fondos reservados) a programas de espionaje y defensa (tanto en el mundo físico como para ciberguerra). Por tanto, que se descubra que un país espía a todos los demás, no sorprende porque todos hacen lo mismo con todos: "The knowledge is the power"


3. ¿Cualquier persona con ciertos conocimientos técnicos puede espiar a otro, hackearle o robarle documentos confidenciales?

No es tan tan trivial como se plantea en la pregunta, pero digamos que hay personas, grupos y organizaciones, en general, fuertemente motivados económicamente, que son capaces de maquinar un plan basado en diferentes técnicas, que no tienen por qué ser de hacking de sistemas puramente, para conseguir información de determinados sitios. Cierto es que con suficiente presupuesto, es posible comprar vulnerabilidades aún no publicadas (los llamados zero-days) así como desplegar malware desarrollado a medida, no detectable por software antivirus, por lo que acotando mucho a los orígenes como los destinos, se puede decir que sí.


4. ¿Considera que la legislación está a la altura de las posibilidades técnicas que hay para espiar o esto es una ciberguerra en la que se impone la ley del más fuerte?

En mi opinión, la legislación va siempre con años de retraso ante los delitos de hoy en día. Es más, la legislación depende de cada país. En cuanto a lo que en nuestro país consideramos como delitos informáticos, hasta donde yo sé, no están tipificados como delitos en tratados de derecho internacional. Cuesta un montón de tiempo poner de acuerdo a gente de culturas similares para que aprueben una ley, como para poner de acuerdo a todos los países a la vez... En cuanto a ciberguerra se refiere, no hay Tratados de Ginebra, aquí sí que todo vale y nada se respeta, como ha quedado patente, ni la intimidad de los inocentes usuarios.


5. ¿Es posible establecer acuerdos entre países para evitar el ciberespionaje?

Acuerdos se pueden establecer todos los que se quiera. Que se respeten es otra cosa. La diferencia entre una "tregua/pacto/acuerdo" para la paz "física" es algo palpable y comprobable. En el caso de la ciberguerra, ocultar tu origen es más sencillo, por lo que el riesgo a que te pillen cuando el espionaje entre gobiernos se trata, es aún menor. 

6. ¿Entiende que el espionaje ha existido siempre y siempre existirá?


Desde que ha habido guerras en las civilizaciones, ha existido la necesidad de saber qué hace el bando contrario. La idea es siempre la misma, adelantarte a sus ataques y poder defenderte, o atacar en un momento que sabes que no tienen defensa. Ya en la Segunda Guerra Mundial, los ingleses, con Alan Turing a la cabeza, y gracias a las investigaciones que comenzaron los polacos, fueron capaces de descifrar los mensajes cifrados con la máquina Enigma, que enviaban los alemanes.
Igualmente, tal cual los libros y las películas de Hollywood nos han mostrado una y otra vez, la necesidad de saber qué hacen los demás, ha existido siempre y siempre existirá. Sucede en muchos sectores de nuestro entorno, aunque los que más impacto nos produce su descubrimiento son los relacionados con la revelación de secretos industriales, económicos y por supuesto en el que los protagonistas son los servicios de inteligencia de superpotencias mundiales (es decir, gobiernos).


7. ¿Entiende que hay algunos consejos que se pueden dar a la ciudadanía para evitar que le espíen?



El problema es más complejo de lo que parece, porque si queremos estar adaptados al siglo en el que vivimos, tenemos obligatoriamente que ser consumidores de servicios online, modas que hacen que nos quedemos atrás si no lo hacemos. No me refiero a la interacción con redes sociales, que hay gente que incluso no tienen cuentas. Simplemente el hecho del envío de un correo electrónico no cifrado desde el origen (es decir, utilizando una tecnología bastante vieja: PGP/GPG) es susceptible de ser monitorizado. La utilización de dispositivos inteligentes como smartphones o tablets que tienen una conexión con Internet, que hacen backups "automáticos" en la nube, que se comunican con el fabricante de forma silenciosa y no controlable por el usuario, ya nos hacen susceptibles de ser espiados. Nuestras llamadas de teléfono ya sea fijo o móvil, en algún punto de las operadoras irá en claro, y en ese momento, aunque sea por el prestador del servicio, estamos a su merced. Si un juez o un servicio de inteligencia decide que eres sospechoso y que tus conversaciones son importantes para un determinado caso, alguien más aparte de tu interlocutor, sabrá de lo que has hablado, sea o no relevante. Obviamente, si se quiere vivir en el siglo que marca el calendario, no se puede vivir desconectado del mundo, por lo que hay que asumir algunos riesgos a la hora de usar ciertos servicios.
Sin embargo, es sabido que Google, que nos ofrece un sinfín de servicios de forma gratuita a cambio de "nada", procesa nuestras comunicaciones para ofrecernos publicidad adecuada y afinada, en base al contenido de lo que hablamos. 
En los últimos años, el programa rey de mensajería instantánea que utilizamos es Whatsapp. Se ha demostrado varias veces que, desde las primeras versiones, éste es inseguro. Inicialmente, las conversaciones iban en claro (lo que en determinados entornos wireless hace que puedan leerse las conversaciones), el proceso de autenticación era vulnerable a suplantación, etc,... Con la compra de Whatsapp por parte de Facebook, a los usuarios se nos abren todo tipo de nuevos miedos, puesto que la política de privacidad de Facebook es bastante más relajada y si bien podía darse el caso de usuarios que no tuvieran cuenta en la red social, pero sí utilizasen Whatsapp ¿qué pasará con sus conversaciones futuras? ¿y con las pasadas?
Si bien han surgido una miríada de alternativas como Snapchat, Viber, Line, etc,... parece que a día de hoy (20/05/2014) es Telegram la que plantea un paradigma basado en la seguridad desde todos los puntos de vista, con la posibilidad de cifrado de las comunicaciones, auto-destrucción de las mismas, etc,... El problema sigue siendo el de siempre: nos tenemos que fiar que el proveedor de servicio en Rusia, respete nuestra privacidad y los datos almacenados en sus servidores no sean utilizados para otra cosa


8. En su opinión, ¿qué grandes cambios ha aportado la tecnología al espionaje?


Como medio por el que los usuarios podemos ser espiados, los avances tecnológicos de los últimos 50 años han llevado como denominador común la utilización de ordenadores y servidores conectados entre sí para generar la evolución de todo lo que conocemos, para hacernos la vida más fácil. Desde el sector industrial, pasando por el personal (los que llevamos un smartphone en el bolsillo, llevamos un ordenador encima), domótica en nuestras casas (para hacernos la vida más cómoda), social (todo se hace desde ordenadores, incluso la declaración de la renta), etc... Habiéndose cumplido con creces el sueño de Bill Gates, en el que cada hogar tiene un ordenador (y bastantes, más de uno), y siendo el software (y a veces el hardware), susceptible de diferentes vulnerabilidades que permiten comprometer dispositivos completos, esta claro que el habernos ligado tanto a la tecnología para nuestro quehacer diario, nos pone en el punto de mira para poder ser espiados.
Como medio para poder espiar, está claro que la tecnología sirve como herramienta, a aquellos que quieran espiarnos, para poder llevar a cabo sus objetivos cómodamente y en remoto. Incluso utilizando soluciones de cifrado en comunicaciones o en la protección de nuestra información, gracias a la tecnología y la computación distribuida, es posible romper esquemas de cifrado, en tiempos récord, que en otras épocas era impensable.



9. Estamos en un momento de debate sobre el espionaje preventivo. ¿Tienen razones millones de personas para pensar que están siendo espiados por grandes corporaciones y gobiernos o se trata simplemente de un cambio de modelo social al que debemos acostumbrarnos?



Por supuesto que sí. En muchos casos de forma justificada y por "seguridad nacional" (sobre todo en USA escudándose en el Patriot Act) parece que hay carta blanca para poder hacer cualquier cosa. Desde poner puertas traseras en dispositivos hardware que interconectan tráfico en Internet, hasta introducir vulnerabilidades como Heartbleed o debilidades en protocolos de cifrado, conocidas por no se sabe quién, con el fin de poder acceder a información sensible de usuarios. Y esto es lo que sabemos... seguramente la punta del iceberg de lo que realmente puede existir, que nos parecería ciencia ficción. 
Si pensamos en malware hecho a medida o ataques dirigidos en entornos industriales (como la Operación Aurora en Google China, malware como Stuxnet, Duqu, Flame, Careto, etc,...) que llevan años ejecutándose hasta haber sido descubiertos, con unos niveles de sofisticación increibles y explotando vulnerabilidades 0Day impensables, lo que se puede estar gestando para espiar en los próximos años escapa a nuestras mentes.
Las revelaciones expuestas al mundo por parte de Julian Assange o Edward Snowden por ejemplo, no hacen más que abrirnos los ojos ante lo que realmente sucede por parte de gobiernos, y la colaboración entre diferentes empresas punteras en tecnología a la hora de incluir puertas traseras en su propio software/hardware para poder permitir acceso cuando sea necesario.


10. ¿Existe la privacidad total una vez que un individuo tiene un ordenador o smartphone y está conectado a internet? 

Rotundamente NO. De hecho, no existe la privacidad total, y en muchos casos, dependiendo de las condiciones de la conexión y del dispositivo utilizado, ni siquiera la privacidad parcial. Muchas veces somos nosotros mismos, los usuarios, los que enviamos a las empresas nuestra propia información. Somos nosotros los que conscientemente enviamos, con fines de backup, el historial de llamadas que hacemos desde un dispositivo móvil (obviamente, no el contenido de la llamada, pero sí el origen, destino, fecha/hora y duración de la llamada). Aunque por otra parte, somos incapaces de saber si el contenido de la llamada está siendo grabada o procesada en algún otro sitio. De hecho, proyectos como Echelon o Carnivore por ejemplo, llevan operando desde hace años analizando nuestras comunicaciones en busca de posibles amenazas a algunos gobiernos.

Leer más...

11 enero 2016

3ra Edición HACKRON 5&6 FEBRERO 2016 – SANTA CRUZ DE TENERIFE

Como cada año en pleno huracán carnavalero los chicos de Hackron organizaran su tercera edición los días 5 y 6 de Febrero en la capital Santa Cruz de Tenerife (Islas Canarias), siendo el evento de seguridad por excelencia en el archipelago, combina sus jornadas de conocimiento que terminan en una improvisada Rio de Janeiro, todo ello bajo un clima espectacular con 20Cº de media, razones de peso para no dejar indiferente a sus visitantes. 

La agenda está prácticamente cerrada con ponencias confirmadas de grandes expertos como;  

Deepak Daswani, Pedro Laguna, Pedro Sanchez, Pedro Candel, Juan Garrido, Igor Lukic, Jose  Pico, Josep Albors, Luis Delgado, Lorenzo Martinez, Cecilio Sanz, Jose Luis Verdeguer ,Miroslav Stampar

El evento promete un desafío muy divertido; tomar el control de un robot “armado”,  teóricamente el “atacante” deberá afinar no solo su estrategia ofensiva sino también su puntería, la organización anunciara el reto próximamente.

El congreso tendrá intervenciones tanto de la Guardia Civil (GDT) como del cuerpo de la Policía Nacional (UIT), por no mencionar la Keynote de Miroslav Stampar que vendrá en representación del CERT de Croacia, dando una visión del campo de batalla que supone estar detrás de este tipo de organizaciones. 

Si planeas darte un salto a Canarias con una buena excusa te recomendamos no esperar el último segundo, las tasas aéreas junto a la ocupación del 99% de Hoteles en esas fechas son razones suficientes para adquirir tú entrada hoy mismo. 

Se estiman que las 220 plazas se vayan a llenar mucho antes de lo esperado. Las entradas están puestas en la venta y se pueden adquirir a través de la web de @Hackr0n  en http://www.hackron.com

Esperamos verles muy pronto!

Artículo cortesía de Equipo Hackron
Leer más...

10 enero 2016

04 enero 2016

Fugas de Información en los Routers Mikrotik

Cuando se quiere realizar un APT (Advanced Persistent Threat) a una empresa o a una organización, uno de los aspectos fundamentales es conocer su esquema de direccionamiento IP interno que utiliza y, si es posible, cuál es su arquitectura de red para, por ejemplo, ver si tienen zonas desmilitarizadas y a partir de ahí poder inferir cuántos routers/firewall configuran su sistema de protección perimetral.

Figura 1. Fugas de Información en routers MikroTik.

A parte de lo anterior, resulta muy interesante conocer, si es posible, el nombre de alguno de sus empleados y, por qué no, también el del administrador o administradores de la propia red.

Con toda esta información se puede plantear incluso el realizar algún ataque de Ingeniería Social.


Router Mikrotik

Estos routers son muy conocido dentro de las redes debido a su buen funcionamiento y bajo coste y son una alternativa a otro tipo de marcas en elementos de electrónica de red como puede ser CISCO. El sistema operativo que incorporan estos dispositivos es RouterOS y trae muchas características avanzadas de configuración.

Figura 2. Sistema operativo RouterOS y servicio asociado al puerto 80 TCP.

Entre las característica que incorpora RouterOS, cuenta con un servidor web que sirve para una configuración más cómoda con un entorno gráfico bajo HTTP más agradable, en lugar de utilizar los comandos propios del sistema operativo a través de una shell.

Es precisamente la configuración por defecto de este servicio el que va a permitir realizar el descubrimiento de recursos de la red de la organización como veremos a continuación.


Búsqueda de un patrón para realizar Dorking

Para poder aplicar técnicas de dorking, el primer paso es buscar un patrón común a estos dispositivos a partir del cual poder extraer más información utilizanzo los principales motores de búsqueda. Para ello, lo primero es obtener direcciones IP de estos dispositivos, por ejemplo, utilizando Shodan.

Figura 3. Búsqueda de routers Mikrotik.

Una vez localizados estos dispositivo, lo siguiente será tratar de obtener el nombre de los recursos que están en su servidor web, como pueden ser nombres de ficheros, de directorios, etcétera. El nombre de estos recursos y el comportamiento del servidor web serán quiénes nos den el patrón para las técnicas posteriores de dorking.
Para el descubrimiento de estos recursos, empleamos técnicas de spidering. ZAProxy es una buena herramienta para realizar el descubrimiento de recursos:

Figura 4. Recursos descubiertos por el spider de ZAProxy.

La petición que genera la respuesta anterior es http://115.x.x.x/graphs/, luego un posible patrón a utilizar en las técnicas de dorking puede ser para el texto “Traffic and system resource graphing” y para la url “graphs”. Usando Google, podemos emplear el siguiente dorking:

Figura 5. Resultados después de realizar Google Hacking.

Uno de los resultados devueltos por Google es el siguiente:

Figura 6. Router Mikrotik con 5 interfaces de red.

Observamos cómo, debido a una configuración insegura por defecto del servidor web del router, podemos ver el número de las interfaces de red y el nombre de cada una de las redes que comunica. De la información anterior, podemos inferir que es un único router quien comunica la red interna de la organización con la DMZ y los recursos de la DMZ con Internet.
Además, es muy probable que tenga un firewall con reglas de entrada y salida para el tráfico de la organización. Si pinchamos encima de una de las interfaces, podemos ver el tráfico de red que pasa por ella:

Figura 7. Tráfico de red que atraviesa la interfaz de la DMZ de la organización

Es más, a partir de la información de las interfaces de red podemos inferir un posible esquema perimetral de defensa de la organización:

Figura 8. Diagrama “retro” de la posible defensa perimetral de la red de la organización.

IP  Private Disclosure políticas

Los resultados anteriores son consecuencia de una mala configuración por defecto del servidor web que permite hacer un listing de los recursos que almacena.
Esta situación se puede aprovechar para intentar extraer también cuál es el esquema de direccionamiento interno de la organización aplicando técnicas de hacking con buscadores con los dorkings que hemos comentado anteriormente.
Sólo tenemos que añadir los prefijos de direccionamiento privado que queramos encontrar. Por ejemplo, si queremos extraer el esquema de direccionamiento privado sobre IPv4 para una red de clase C, podemos emplear el siguiente dorking:

Figura 9. Extracción de direccionamiento privado de clase C sobre IPv4.

Seleccionando uno de los resultados devueltos por Google, podemos ver cuál es el esquema de direccionamiento interno de la red interna, así como tener acceso a datos referentes a uso de CPU, memoria y almacenamiento en disco.

Figura 10. Información de la red interna de la organización.

En la figura anterior puede verse que, asociada a cada una de las direcciones IP de la red interna, es posible que éstas tengan algún tipo de política en las colas relacionada con la QoS (Quality of Service), seguramente relacionadas con la velocidad de subida y de bajada.

Figura 11. Política de velocidad de transferencia asociada a una dirección IP (I).

Si consultamos cuál es la política asociada a otra de las direcciones IP interna de la organización, observamos cómo, en este caso, la velocidad de transferencia es diferente:

Figura 12. Política de velocidad de transferencia asociada a una dirección IP (II).

Observamos como la velocidad máxima permitida para la máquina con dirección IP 192.168.0.5 es mayor que la vinculada a la 192.168.0.14. Si alguien dentro de la organización quisiera tener más velocidad de transferencia, únicamente tendría que consultar cuáles son las direcciones IP que disfrutan de este privilegio, y cambiar su dirección IP, siempre y cuando se tengan los permisos para modificar la configuración de la interfaz de red, la dirección IP no esté ocupada, etcétera.


Extracción del nombre de los posibles trabajadores de la organización

Hay veces en que los administradores de red ponen nombres de personas a las políticas aplicadas a cada una de las colas asociadas a las direcciones IP de las máquinas. 
Es por ello que si probamos con los dorkings anteriores a buscar el nombre de personas, es posible que encontremos el de alguno de los posibles miembros de esa organización, como se muestra en las siguientes figuras:

Figura 13. Nombres de personas vinculados a las políticas de las colas (I).

Figura 14. Nombres de personas vinculados a las políticas de las colas (II).

Es más, pulsando en el nombre de las personas anteriores podemos obtener información de su dirección IP interna (direccionamiento privado IPv4 de clase A) y de cuál es la política de velocidad de transferencia que tienen asignada.

Figura 15. Características del tráfico de red para una persona en concreto.

En la figura anterior podemos ver además, para una persona en concreto, en qué franjas horarias se han producido los mayores picos de descarga. Puede que se produzcan al entrar al puesto de trabajo, después de la comida o incluso después del almuerzo.
Y es más, a partir del nombre de posibles miembros de la organización, se podría obtener, por ejemplo, información relativa a una posible matrícula de su posible coche:

Figura 16. Posible personal de la organización.


Figura 17. Posible matrícula de coche relacionada con el auto de una posible infracción.

Conclusiones

Para evitar toda la fuga de información que hemos visto en este artículo y poder obtener información más sensible como el direccionamiento interno de una organización, políticas de calidad de servicio en su red interna, posibles nombres y apellidos de miembros de la organización, inicialmente podría pensase acceder al router para su administración únicamente a través del servicio SSH, es decir, dejar únicamente el puerto 22 TCP abierto para la administración del dispositivo y nunca hacerlo mediante el servicio HTTP. 

Aún así, como vimos los que hicimos el curso Attack and Hardening en GNU Linux,  si se quiere una administración remota del sistema, para cualquier puerto de administración, podría establecerse permisos únicamente para un pool de direcciones IP fijas y de confianza o, simplemente, realizar la administración del dispositivo desde la red interna de la organización, nunca desde Internet.

Colaboración por cortesía de: Amador Aparicio de la Fuente

Leer más...

03 enero 2016

Enlaces de la SECmana - 309

¡Os deseamos una feliz entrada de año
desde Security By Default!
Leer más...