Ni en las Bahamas podemos desconectar de nuestro trabajo

Hace escasos días TheAnonymousMafia hackeo e hizo pública en pastebin (https://pastebin.com/u/TheAnonymousMafia), la base de datos del banco central de las Bahamas.

Lo hicieron bajo la campaña #OpIcarius, atacando el php de faqs mediante una inyección sql.

Con la inyección de sql consiguieron dumpear toda la base de datos, así como logs, en los que se incluyen correos, contraseñas cifradas, nombres de trabajadores, números de teléfono y faxes…

Siendo las inyecciones sql unos de los ataques más antiguos, estos aun funcionan en muchas webs de grandes empresas, y no se prevé que se erradiquen estas vulnerabilidades en un futuro próximo, es por eso que es muy importante que las empresas se protejan contratando auditorias de seguridad, así como revisiones de código para protegerse de este tipo de atacante.

Hackeando la democracia: Un like para controlarlos a todos

Entender cómo funcionaba Cambridge Analytica es esencial para todos aquellos que quieran construir un movimiento según sus ideas o entender el poder político moderno según la financiación invertida o evitar ser manipulado

Silicon valley ha estado diseñando desde los últimos diez años toda esta máquina propagandística para mantener a los usuarios enganchados y crear adicción.

Todo el mundo puede hacer big data, la información sobra, pero Cambridge Analytical ha creado un modelo para convertir los datos en perfiles de los usuarios y lo ha utilizado en primer lugar para predecir y después para manipular la opinión pública cambiando el comportamiento de la gente.

En 2013  Michal Kosinski utilizó el modelo OCEAN para conocer los perfiles psicológicos de los usuarios, para ello vinculo los likes de los usuarios con sus puntuaciones OCEAN. (Para más información revisar los links de debajo del artículo en Wikipedia donde se explica el modelo de los cinco grandes).

Una vez hecho esto, podían hacer el paso inverso, a través de 10 likes de Facebook de cualquier otra persona que no tenían en la base de datos podían conocer cuál era su modelo OCEAN y su perfil de personalidad.

Cambridge Analytica lo llevo al extremo, realizando los siguientes pasos:

  • En primer lugar le pagaron a gente entre $2 y $5 en mturk (Mechanical Turk es una plataforma de Amazon para minijobs) para poder obtener su personalidad mediante una encuesta política a través de una aplicación de facebook que pedía autenticarse con su login/password de facebook. Dicha aplicación daba acceso a su perfil y además a poder ver el perfil de sus amigos.
  • Después hacían un match de los resultados de la entrevista/encuesta con los likes de sus perfiles en Facebook.
  • Una vez hecho esto combinaron todos estos datos que ya tenían con datos de otras fuentes, como por ejemplo a que revistas están suscritos, a que iglesias van, donde compran el pan, etc. Comprando datos de los Data Brokers.
  • Entonces construyeron campañas microtargetizadas de esos perfiles para obtener máxima difusión y acierto de sus campañas políticas.

Facebook está en caída libre en la bolsa, ha despedido al jefe de seguridad Alex Stamos, vale 60000 millones menos y se comenta que Mark Zuckerberg ha perdido el control de la criatura que él mismo creó.

Normalmente, la gente cuando habla de Big Data es humo, pero esta gente lo ha hecho tangible. ¡Bravo por ellos!. Eso sí, han necesitado una cartera y unos cerebros muy grandes ;).

 

Enlaces de referencia:

  • https://medium.com/join-scout/the-rise-of-the-weaponized-ai-propaganda-machine-86dac61668b
  • https://es.wikipedia.org/wiki/Modelo_de_los_cinco_grandes
  • https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
  • https://www.elconfidencial.com/tecnologia/2018-03-20/facebook-cambridge-analytica_1538554/

 

El phishing del proveedor

Ampliamente se ha hablado en las noticias del fraude/phising del CEO, en el cual unos atacantes se hacen pasar por el CEO de la organización y contactan con el personal responsable de ventas/cobros para realizar importantes transferencias de dinero en efectivos a bancos en países remotos en el extranjero.

Puede sonar a chiste, pero la verdad es que a la gente no le hace mucha gracia cuando tienen que tener una reunión/gabinete de crisis para explicarte como les han hackeado y te preguntan cómo podrían recuperar su dinero.

Una de las actividades que hacemos es concienciación a pequeñas y medianas empresas porque son las más vulnerables a este tipo de engaños debido a su reducido presupuesto. Para ello realizamos pequeñas simulaciones de phishing para revisar cuál es el porcentaje de éxito en cada compañía.

El phishing del proveedor es un poco diferente, imaginad una empresa muy grande, no importa a que se dedique, lo mejor es que sea muy grande para poder localizar buscando en internet que proveedores tiene.

Una vez localizada la lista de proveedores se envía un phishing a todos y cada uno de ellos utilizando la lista de correos que se ha extraído de alguna fuga de datos de esas tan comunes últimamente en internet.

Se hace de esta forma porque normalmente el proveedor, al ser más pequeño, ha invertido menos recursos en seguridad informática que la empresa grande (aunque no siempre es así, en futuros artículos veremos que lo fácilmente hackeable que es una empresa, es directamente proporcional al número de empleados que trabajan en ella).

Una vez hemos comprometido la empresa tenemos que encontrar a la persona que envía las facturas a la empresa grande y enviar una factura lo más grande posible a la empresa matriz para que nos pague pero modificando el número de cuenta por una de un banco en las Bahamas o en cualquier país remoto donde nadie pueda llegar 😉

Si tenemos un poco de tiempo para escribir en futuros artículos veremos como hacer movimiento lateral y desplazarse una vez se ha comprometido una empresa.

Afectación de Meltdown/Spectre a usuarios de la deep web

Todos nos hemos visto consternados cuando ha salido la noticia de las vulnerabilidades en los procesdores Intel. Imagino que todo el mundo está enterado hasta ahora, en general las vulnerabilidades permiten acceder a la memoria de los procesos que haya en el sistema y a la memoria del kernel.

No hay ningún procesador de Intel que no esté afectado y se trata de un fallo de diseño al que hay que corregir por hardware y no por software (es decir, cambiando el procesador). ¿Pero por cuál? ¿Si todos son vulnerables?

Al margen de todo esto (sea más o menos difícil de solucionar o que el CEO de Intel haya dimitido) ¿cómo nos afecta este bug?. ¿Por qué no ha sido notificado inmediatamente?.

El bug permite ser explotado mediante javascript (hay una prueba de concepto en GitHub), es decir, una página web que ejecute javascript puede leer la memoria de nuestro kernel y nuestros procesos.

¿Cómo afecta esto a las personas que utilicen los markets de la deep web?. Si esta vulnerabilidad se conocía desde verano de 2017 ¿Cómo han tenido la jeta de guardársela tantos meses hasta navidades/principios de este año?.

Los más afectados son los usuarios de la deep web, los que compran en Markets que mediante esta vulnerabilidad al permitir la lectura de la memoria, permitiría conocer la identidad de un usuario/cliente/comprador/vendedor de los markets de la deepweb.

Pensad que la libertad de esos usuarios (tu libertad si eres uno de ellos) estaba en juego desde verano hasta navidades.

No olvidéis que existe una distribución llamada Tails donde se recomienda utilizarla arrancando un PC con ella, y no en una máquina virtual, porque como habéis visto si estamos dentro de una máquina virtual la vulnerabilidad permitiría leer la memoria de la máquina real y estaríamos jodidos.

Siempre que podáis, para permanecer en el anonimato, utilizad una conexión segura y esta distribución. Recordad, tened cuidado ahí fuera.

Sobre los mercados libres, Silk Road, TOR, DREAM Market y la Escuela Austriaca de Economía



La idea principal de Ross Ulbricht cuando creó Silk Road era que los mercados fueran libres. Crear un marketplace donde se pudiera comprar y vender cualquier cosa. Desde la perspectiva austriaca de economia los mercados tienen que ser libres y el hecho de que los gobiernos prohíban ciertas operaciones (como hemos visto recientemente con el caso de UBER o AirBNB en Barcelona) no es justo desde el punto de vista de la propiedad privada no poder obtener unos beneficios de dicha propiedad que tanto nos ha costado pagar.

Pues bien, para intentar solucionar este problema llegaron Tor, los mercados en la Deep web como Silk Road, DREAM Market desmantelado hace poco, etc, etc, para ayudara a la gente a comprar y/o vender cualquier cosa.

El hecho de que hayan sido desmantelados y requisados por el FBI nos hace sospechar de la fiabilidad de la deep web, en concreto la red de Tor para realizar este tipo de operaciones financieras.

Llegados a este punto, no nos queda más remedio que reinventar la deep web y diseñar un Tor nuevo, como ha pasado con bitcoin. Tor es antiguo y actualmente no ofrece la misma seguridad del pasado. Es hora de ir pensando en rediseñar los circuitos y el algoritmo.

Como blanquear bitcoins




Hace poco salió una noticia donde se decían que se habían bloqueado los fondos recaudados con WannaCry mediante un exchange. Concretamente la noticia se encuentra en el siguiente enlace: https://www.elblogsalmon.com/entorno/bitcoin-no-es-tan-anonima-y-los-creadores-de-wannacry-se-han-dado-cuenta-rapido

Según la noticia (copio y pego textualmente):

El problema es que confundir a las autoridades no es tan fácil. Sí, los 140.000 euros en Bitcoin acabaron en múltiples cuentas y con muchas transacciones, pero al final tienen que llegar a un exchange. Y usaron Shapeshift.io, no para convertirlos en dinero sino para convertirlos en otra criptomoneda, Monero, que sí tiene características de anonimato. La característica principal de Shapeshift es que no es necesario registrarse.

Sin embargo o bien las autoridades o bien Shapeshift detectó que el dinero procedía de WannaCry y bloqueó los fondos. Los creadores del malware han perdido su dinero.

Si los creadores de bitcoin hubieran realizado un paso intermedio antes de mover los fondos no habría pasado eso (y puede que así sea) pero es poco probable. La manera correcta de haber gestionado esos fondos del rescate es la siguiente:

  1. En primer lugar es necesario crear una cuenta en un mercado de la deep web donde se vendan sustancias estupefacientes de confianza (antes estaba alphabay pero actualmente ha cerrado por lo que habría que buscar una alternativa).
  2. Posteriormente se realizan unos pequeños ensayos comprando sustancias (drogas) para sí mismo y se comprueba que realmente la mercancia llega a su destino.
  3. Acto seguido, lo ideal es crear una cuenta para poder vender en estos mercados (en Alphabay la cuota eran de 150 euros por abrir la cuenta de vendedor).
  4. Una vez abierta se ofrece esa misma sustancia que nos ha llegado y sabemos que no hay problema alguno.
  5. Cuando los usuarios del sitio nos compren la mercancia, cogemos los bitcoins que queremos blanquear y compramos esa sustancia a nuestro proveedor.
  6. Nuestro cliente nos ingresa los bitcoins de vuelta en una cuenta limpia.
  7. Bitcoins semi-blanqueados.

Esto es todo, espero que os haya gustado el artículo.

Saludos,

La importancia de estar correctamente parcheado




Es muy necesario estar correctamente parcheado ante lo que pueda llegar a pasar, tal y como se detalla en la siguiente infografía, el ataque de WannaCry podría haberse evitado de estar correctamente parcheado:

El mes que viene, Shadow Brokers ha anunciado que lanzará una suscripción de pago para poder adquirir los exploits. Hay que estar atento de las nuevas actualizaciones críticas que libere Microsoft/otros fabricantes y aplicarlas cuanto antes.

Entendemos que las empresas grandes que tienen miles de sistemas que parchear no tiene personal suficiente ni experiencia para poder realizar todo el parcheo.

Si no tenéis a nadie que os eche una mano, podéis rellenar el formulario de contacto y nos pondremos en contacto con ustedes para echaros una mano.

Ransomware, WannaCry y Telefónica




El viernes Telefónica de España y empresas de todo el mundo fueron afectadas por un virus tipo ransomware que se propagaba por red utilizando el protocolo Samba de Microsoft Windows mediante el exploit EternalBlue que Shadow Brokers sacó a la luz hace varias semanas.

Desde hace varias semanas varios grupos de la comunidad Hacker estaban investigando los exploits de Shadow Brokers disponibles en la siguiente URL: https://github.com/misterch0c/shadowbroker

Entre ellos cabe destacar el trabajo de Sheila A. Berta (@UnaPibaGeek) disponible aqui: http://www.hacking4badpentesters.com/2017/04/step-by-step-eternalblue-desde.html

Las vulnerabilidades que explotaba el ransomware WannaCry eran perfectamente públicas y conocidas desde hace varias semanas (14 de Marzo de 2017 concretamente) y fácilmente parcheables por Microsoft Windows con la siguiente actualización: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

A partir de todo esto, es necesario hacerse las siguientes preguntas:

  • ¿En qué está pensando la alta dirección de las grandes empresas, no solo de España sino también de otros países?
  • ¿Vamos a quedarnos de brazos cruzados mientras ellos sin tener mucha idea de seguridad informática siguen en puestos de alta dirección y cobrando grandes sumas de dinero?
  • ¿A nadie le importa que haya habido vidas humanas en juego, debido a que han sido afectadas infraestructuras críticas, hospitales, aeropuertos etc?.
  • ¿Qué nos depara el futuro? ¿Ataques todavía más devastadores?.
  • ¿Acaso no hay conciencia de la seguridad?