Disponible el ebook "Hackstory.es. La historia nunca contada del underground hacker en la Península Ibérica"

"Hay historias que no merecen ni deberían ser olvidadas. La historia del hacking español es la historia de cómo unos jóvenes, con una extrema inquietud de aprender, evolucionaron a lo que hoy en día es la defensa (y la no tan defensa) en la red de múltiples organismos nacionales e internacionales. Es la historia del aprendizaje no reglado, sin medios al alcance del bolsillo y muchas veces al margen de la ley."

Os dejo el inicio del prólogo de Zhodiac, uno de los tres que podréis encontrar en el ebook "Hackstory.es. La historia nunca contada del underground hacker en la Península Ibérica", un proyecto que arrancó Mercè Molist hace dos años mediante una campaña de crowdfunding en Goteo mediante la cual logró recaudar 6.000 euros, que recopila la información de Hackstory.net (una enciclopedia online que versa sobre la cultura e historia hacker) y que hoy por fin se ha materializado en el libro electrónico que tenemos "en nuestras manos".

Aprovecha para llevarlo de vacaciones. Otros nos mirarán raro, que les den...

¿Qué no llevas un condón USB en la cartera?

Recuerdo que allá por el año 2012 en cierta conferencia de seguridad había un mueblecito con un varios cables para cargar móviles, de hecho podéis ver la foto en una viñeta de nuestras crónicas gráficas. Como soy bastante paranoico y llevaba en el bolsillo una segunda batería no llegué a utilizarlo. De hecho ni siquiera llegué a usar esa segunda batería porque apagaba continuamente el smartphone... joder, ¡estaba en un congreso de hackers!. Todos los que estábamos ahí lo sabíamos pero la necesidad imperiosa de permanecer continuamente conectado empujo a muchos a arriesgarse. El resultado podéis imaginarlo... más tarde en una presentación se mostraron en el proyector las fotos personales de los incautos que accedieron a mostrar en público sus vergüenzas.

Un año antes en la Defcon 19, también instalaron un kiosko de recarga de batería malicioso y el resultado fue el mismo, todos cayeron en lo que se conoce como ataque de 'Juice-Jacking': robar datos o instalar malware cuando la víctima conecta su dispositivo a un puerto USB extraño.

En ninguno de los casos hubiera pasado si entre el cable y el smartphone hubiesen puesto un "condón USB".

Empujando a Latch fuera de Matrix

Acabé el 2013 diciendo sobre Latch que me parecía la mejor idea ese año y, después de conocerlo, lo hemos implantado en nuestras vidas cotidianas protegiendo archivos, servicios, cuentas bancarias, identidades digitales ..etc..

Son varias las características que nos atraen de esta herramienta: su fácil manejo, su cuidada estética, su genial simpleza... Pero si hay algo con el que nos tuviéramos que quedar sería su flexibilidad. Esta es la cualidad que te hace pensar y te divierte... y sin duda su mayor activo de cara al futuro (desde la humilde opinión de un servidor).

Y también es  la razón que te lleva a ...¿por qué no?.. empujarlo a otro plano para el que fue concebido (que me perdonen Eleven Path), sacarlo del plano virtual y permitirme un par de hacks (esto es Hackplayes no?)...

Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 1

Hey ¿tú crees en la herencia de los genes? Digo, ya sé que ahí están, pero no sé si piensas que en realidad esas cosas se heredan y entonces uno sale disparado de la vagina con un cóctel de puras cosas que no son tuyas. Te transmiten los mismos putos miedos y malignidades que te enseñan a odiar. Llegas a aborrecerte por lo que tus cromosomas hicieron de ti. Si el problema comienza por la sangre, yo tendría que estarme cortando las venas. Y la verdad dudo mucho que mis familiares me hayan pasado el gen cancerígeno del haxxorismo. Yo soy el único demonio digital de la estirpe.
Si de verdad mis genes son tan vulgares como sospecho, mi problema está en mi propia esencia. Morbo. Ambición. Calentura. Ganas de chingar gente por deporte. No te digo entonces que toda la vida he soñado con ser un Sid Lord digital, para nada. Aunque la verdad tenía intereses muy afines desde muy pequeño por supuesto, pero una cosa es preguntarte qué se sentirá que te metas a una cuentita de correo de tu ex-novia, y otra ponerte a robar sus fotos íntimas para un tercero, un pinche depravado, por una lana. No me imaginaba que a los topos de la red les pagaran mucho, sino lo contrario: me ponía bien honey imaginarme que les pagaban una mierda en dinero, pero que les quedaban debiendo la vida entera, y les inspirabas miedo por lo que eras capaz de llegar a obrar. Ni siquiera cien pinches pesos. Digamos que cincuenta, por extraer y pasarle, directo de su laptop, el vídeo sexual de tu profesora buenérrima de Arte a diecisiete puercos. Y que la cosa sea tan cochina que lo vean todos directo en el cañón de uno de los salones de la Universidad. Ese sería el orgasmo de la película: ver el harem de puercos aclamándote porque les das porno amateur con tus dotes del byte. Tome usted sus cincuenta pesos y réntese una puta de Tlalpan para bajarse la calentura. Igual entonces no me daba cuenta de lo que hacía realmente, o no quería dármela, o me la daba y me importaba poco, ya no sé, pero lo único que quería era seguir siendo un genio desgraciado…”

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

Reto 19: un mensaje de spam para el programador ese chusquero

Ahora que en agosto todo está más tranquilo en la oficina, hemos aprovechado para mejorar los filtros antispam de nuestras pasarelas de correo.
El caso es que a la semana siguiente se me presenta en el departamento José Ca***mas, un desarrollador de Java de la planta tercera, veintitantos años, perilla, ojeras cada lunes y corbata pero aspecto desaliñado:

- "Oye, ¿habéis hecho algo en los servidores de correo?. Desde hace unos días no recibo ni un mensaje basura". 

Orgulloso le replico: "Si, hemos mejorado los ratios de detección del sistema. Deberías haber recibido un informe con todos los mensajes en cuarentena"...

¡Pues no se me cabrea el tío al escuchar la respuesta y me dice que le faltan mensajes de spam. ¡Pero que coño! WTF!. ¡Encima!

Pues nada, le echo paciencia y me pongo a filtrar los mensajes entrantes y resulta que me pide que le entregue en el buzón el siguiente mensaje:

Powerless

Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura).
Pero la censura no es exclusiva de los gobiernos totalitarios; también se ha convertido es práctica habitual del mundo empresarial (Vea 10 métodos de censura por internet).


Hoy, las diferentes organizaciones (y gobiernos) implementan muchas tecnologías y métodos para bloquear contenidos y restringir el acceso, en un intento por controlar la información de una red diseñada para lo contrario, y los usuarios, el último eslabón de la cadena alimenticia, se las ingenian para no ser devorados por el pez grande y saltarse estos controles, en el nombre de la libertad de expresión. (Vea Manual Anticensura).


Es por esta razón que hemos diseñado una nueva entrevista, tipo FAQ (la primera fue sobre las interferencias Wifi y No-Wifi), esta vez enfocada en el filtrado de contenidos y bloqueos de ‘anonimizadores’ vs libertad de expresión, la cual representa la opinión de muchos especialistas en el ramo, y que pretende exponer la situación actual de esta problemática y el futuro que nos depara.

Gyrophone: convierten el giroscopio del teléfono en un micrófono para espiar conversaciones

Las aplicaciones que utilizan el micrófono de tu teléfono tienen que pedir permiso para utilizarlo, pero ¿también para los sensores de movimiento? No, no es necesario. 

Puede no parecer gran cosa, pero los investigadores de seguridad de la Universidad de Stanford y la firma de defensa Rafael han descubierto una manera de convertir los giroscopios de los smartphones en micrófonos. Ellos llaman a su aplicación "Gyrophone" y así es como funciona: los minúsculos giroscopios del teléfono miden la orientación mediante la vibración y la presión de unas placas. Pues resulta que también pueden captar las vibraciones del aire que producen los sonidos, y muchos dispositivos Android pueden hacerlo en el rango de 80 a 250 hertz - exactamente la frecuencia de la voz humana. Por el contrario, el sensor del iPhone sólo utiliza frecuencias por debajo de 100 Hz, y por tanto es menos viable captar las conversaciones.

Por el momento, el sistema de los investigadores sólo puede recoger palabras sueltas (en los experimentos se ha probado a interpretar los números del 1 al 10 en una conversación) o reconocer el sexo del hablante, aunque ellos dijeron que, sin duda, otros expertos en reconocimiento de voz podrían hacer que funcione mucho mejor. 

Durante la próxima semana presentaran su paper en la conferencia Usenix Security pero, por suerte, Google ya está investigando el asunto. "Este primer trabajo académico debe permitir que proporcionemos defensas antes de que haya cualquier posibilidad de explotación real."

Breve repaso a distinas técnicas para impedir el reconocimiento facial

No sé vosotros, pero presiento que después del lanzamiento de las Google Glasses una de sus principales funcionalidades será el reconocimiento de personas en tiempo real. Por ejemplo un policía será capaz de conocer tus datos personales, tu historial y tus antecedentes con sólo mirarte...

Y no sólo su uso estará exclusivamente destinado a las fuerzas de seguridad del estado. Ni hace falta decir que, inexorablemente, ese programa de reconocimiento caerá pronto en manos de hackers que le darán una y mil vueltas al código. Y de ahí surgirán spin-offs que extenderán las capacidades de estos dispositivos que serán capaces de obtener todo tipo de información del ser humano reconocido: las relaciones, nuestros amigos, a dónde viajamos o dónde trabajamos, nuestros gustos y aficiones y, en definitiva, lo que filtramos inconscientemente nosotros mismos en las redes sociales. Y, por qué no, otra información que puede obtener de forma menos ética como nuestro historial de visitas web, las contraseñas si han sido filtradas en un leak público, etc. 

En cierta manera ya existen desplegados numerosas cámaras en aeropuertos, calles y establecimientos que ya reconocen automáticamente a la gente que captan. Pero pronto el software y dispositivos de reconocimiento crecerán exponencialmente llegando al "gran público". Las posibilidades son casi infinitas.

¿Y qué podemos hacer nosotros con el reconocimiento facial?

Cortes y lentitud en Internet a nivel global porque muchos routers no soportan más de 512k rutas BGP (o "la que se avecina")

Ayer usuarios de todo el mundo se quejaban de lentitud y algunos cortes en el acceso a Internet a través de múltiples proveedores: Comcast, Level 3, AT&T, Cogent, Verizon, etc.

¿Se estaba produciendo un ataque DDoS a gran escala, un corte eléctrico en uno de los centros de datos de un gran proveedor de cloud, o quizás una avería en algún cable submarino de datos?... Ninguno de ellos: se trataba de un problema estructural en la forma en la que Internet está construida. Pero empecemos desde el principio...

BGP en Internet

Como todos sabéis y de forma muy genérica, Internet es una gran red global que interconecta cualquier host que se identifica por una dirección IP única. Esto se consigue reenviado los datos de un router a otro y, para conseguirlo, estos routers tienen que tener una tabla de rutas continuamente actualizada.

En esta tabla de rutas están las direcciones IP agrupadas en prefijos que pertenecen a distintos Sistemas Autónomos (AS). Estos AS distribuyen sus rutas y se intercambian la información con otros AS mediante el protocolo BGP (Border Gateway Protocol). Por ejemplo el prefijo de red 192.0.2.0/24 está dentro del AS 64496 y así lo anuncia al resto.

En el último año, de media en Internet se producían diariamente cortes o interrupciones de servicio que afectaban a 6.033 prefijos de 1.470 AS distintos. Es decir, estos cortes suelen ser normales y algunas redes y zonas geográficas son más estables que otras:


Sin embargo ayer y según BGPMon estas cifras subieron a 12.563 prefijos de 2.587 AS distintos, prácticamente el doble. ¿Y qué causó esta inestabilidad? Aquí está el meollo del asunto...

Ya está disponible el material de BlackHat USA 2014

Ya sabéis que la conferencia BlackHat de EE.UU. es uno de los eventos de seguridad más importantes del año. Una agenda superapretada, con ponencias incluso simultáneas, retos, mesas redondas, polémicas y temáticas fascinantes, etc. 

Seguro que algún año tendré la determinación necesaria (y podré tener ahorrado lo suficiente) para volar a Las Vegas en esas fechas, pero hasta entonces, podré seguir disfrutando de sus presentaciones y whitepapers :):

keynotes
  1. Cybersecurity as Realpolitik
briefings
  1. 48 Dirty Little Secrets Cryptographers Don't Want You To Know
  2. 802.1x and Beyond!
  3. A Journey to Protect Points-of-Sale
  4. A Practical Attack Against VDI Solutions
  5. A Scalable, Ensemble Approach for Building and Visualizing Deep Code-Sharing Networks Over Millions of Malicious Binaries
  6. A Survey of Remote Automotive Attack Surfaces
  7. Abuse of CPE Devices and Recommended Fixes
  8. Abusing Microsoft Kerberos: Sorry You Guys Don't Get It
  9. Abusing Performance Optimization Weaknesses to Bypass ASLR
  10. Android FakeID Vulnerability Walkthrough