Esta serie narra las historia de Elliot Alderson y tiene una serie de peculiaridades que la hacen distinta a las demás. Y una de las que más llama la atención es que los «hackeos» son bastante reales. Nada de aporrear las teclas hasta conseguir un «Access Granted». Las herramientas que se ven en pantalla son reales y su uso es el adecuado (como Wired se encargó de recopilar) y eso es muy raro hoy en día.

Los productores de la serie han llevado a cabo a un exhaustivo trabajo de investigación sobre la cultura hacker y la han plasmado con fidelidad en la pantalla. Un ejemplo claro de ello es una secuencia en la que instalan un spyware en un teléfono Android, y como corresponde a la aplicación Flexispy.

Sin embargo, de todo lo que he leído hasta ahora de la serie, lo que más me ha llamado la atención es la historia del mail que utiliza el protagonista: Protonmail. Al igual que todas las demás, este servicio de correo alojado en Suiza ofrece un servicio en el que la seguridad es el elemento distintivo.

En su blog, la propia empresa cuenta como los productores de la serie se pusieron en contacto con ellos y, tras hacer una profuna investigación sobre la seguridad en distintos sistemas de correo, eran capaces de ver la diferencia técnica entre el servicio que ofrecia la empresa y los de su competencia. Sin embargo, siendo esto llamativo y seguro que raro (no hay más que ver como se tratan los temas informáticos en la televisión), no es lo más interesante de la historia.

En una de las conversaciones con el equipo de Mr. Robot, estos les indicaron que una persona tan obsesionada con la seguridad como Elliot agradecería tener un sistema de monitorización que le permita conocer cuando se mandó un correo, la última vez que se accedió al sistema o los intentos fallidos de login. Y esa idea les pareció tan interesante al equipo de Protonmail que lo añadieron en la siguiente versión.

Muchas veces decimos que no tenemos que creernos lo que vemos en televisión, y es cierto. Sin embargo, series como esta que buscan representar de forma tan fiel algo tan minoritario como la cultura hacker, te reconcilian con el medio.

A veces, yo sí veo la televisión.

The post El poder de la televisión appeared first on S3lab.

Me parece que se me había pasado comentaros pero…

Todo comenzó en 2004 cuando un pionero Mozilla decidió cambiar las reglas del juego y puso en marcha un programa de recompensas para aquellas personas que detectaran bugs (errores de software) en su navegador. Pero no fue hasta 2010 que Google decidió tirar del carro con su “Bug Bounty Program”, y entonces empezó la gran era de las recompensas, ya que compañías como Facebook, Paypal y Microsoft siguieron su estela. El último en unirse al club ha sido Twitter con su programa en HackerOne. Estos programas permiten reportar cualquier tipo de vulnerabilidad encontrada tanto en productos como en servicios asociados a dichas compañías.

El trato que se ofrece sigue una estrategia win-win, ya que la empresa localiza vulnerabilidades, lo que mejora su seguridad tras parchearlas, y la persona que ha localizado el bug obtiene una recompensa. Esta práctica permite a las compañías no tener que contratar un gran número de investigadores para la búsqueda de errores, ya que investigadores de seguridad externos o hackers realizarán ese trabajo para ellos.

Otro de los objetivos principales de este tipo de programas, es intentar controlar de alguna forma la compra/venta de vulnerabilidades en el mercado negro. Aunque es importante comentar, que por regla general las recompensas ofrecidas suelen estar muy por debajo de los precios de esas mismas vulnerabilidades en la Deep Web (generalmente no admisibles para una empresa).

De todas formas, existen diferentes tipos de recompensas que no tienen por qué ser económicas. A continuación explico los 3 tipos más comunes:

• Reward: No quieren que muestres al mundo tu gran contribución a la seguridad de sus sistemas, sino que te ofrecen una retribución económica a cambio de tu silencio total o de una revelación del bug de una forma responsable (después de que ellos lo hayan parcheado). Este dinero puede ser para la persona que envía el bug o puede donarse a la ONG que la persona decida. Las recompensas van desde los 100 dólares hasta incluso los 200.000 dólares en algunos casos concretos, dependiendo del fallo encontrado y de la compañía que esté detrás del producto o servicio.

• Hall Of Fame: La idea en este caso es poner tu nombre en un precioso muro virtual de su página web indicando y agradeciendo tu gran ayuda desinteresada. Te conviertes en famoso de la noche a la mañana, bueno o esa es la idea en un principio.

• Swags: Te agasajan con una gran cantidad de merchandising y cupones descuento para productos de la empresa con la intención de conseguir ablandar tu corazón y que no reveles el bug en ningún lugar antes de que éste haya sido parcheado. Esta técnica cada vez está ganando más adeptos.

Además, los investigadores o hackers que indiquen a la empresa ideas útiles para protegerse contra dicho error, suelen tener un bonus especial.

Cuando se envía un bug a este tipo de programas, hay que tener en cuenta que pueden no considerarlo lo suficientemente importante o incluso pueden llegar a indicar que no se trata de un bug sino que ha sido diseñado de esa forma y que no se trata de un riesgo que comprometa su seguridad, por lo que no recibirás nada.

El reporte de vulnerabilidades a empresas que no tienen bug bounty, tiende a conllevar malas respuestas y amenazas de índole legal. Personalmente lo considero un error, ya que incita a no volver a avisarles de ningún tipo de error que tengan. Actualmente existen páginas como Bugsheet y Bugcrowd, que nos ayudan a saber rápidamente si cierta empresa dispone o no de un programa de recompensas.

Finalmente, me gustaría concluir con dos recomendaciones:

• Empresas: Cualquier empresa que disponga de software que se ofrezca fuera del ámbito interno, debería disponer de un programa de recompensas. Puede parecer contraproducente, ya que se puede pensar que animas a miles de personas a intentar romper tu producto en busca de una jugosa recompensa, pero eso será así ofrezcas o no algo al descubridor de esos bugs.

• Hackers e investigadores de seguridad: Todos sabemos que se consigue más dinero por un 0-day en el mercado negro, pero los bug bounty son la mejor alternativa para no desviarse del buen camino y lograr así no acabar en Alcatraz. Además, sirve para fortalecer y  mejorar el ecosistema del software, que es, al fin y al cabo, el negocio de todos los que estamos metidos en el mundo de la seguridad.

El que avisa no es traidor.

The post Bug bounty, hackers a la caza de recompensas appeared first on S3lab.

A todos nos gustan esas películas, nada lejos de la realidad, en las que siempre aparece un ordenador en el momento preciso para poder hackear un sistema, o para simplemente conectarnos a la VPN de nuestro antiguo trabajo del cual nos han echado.

Como amante cinéfilo que soy, hace tiempo que dejé de quejarme por la irrealidad de las escenas en las que aparece un informático o simplemente un ordenador, pero no puedo dejar que no salga el informático interior que tengo para reírme de la utilización de la tecnología.

Veamos unos ejemplos.

Por supuesto que todo el mundo sabrá que los mejores hackers del mundo, para la creación de sus “bichos”, únicamente tienen que ir uniendo cubos entre ellos para poder crear una “hydra polimórfica” (explíquenme que es eso), nada más lejos de la realidad. Aquí tenemos a Hugh Jackman en “Operación swordfish” siendo uno de los mejores hackers del mundo, y como no, con siete pantallas se trabaja mucho mejor.

Esta película, también nos demuestra que el trabajo del informático puede tener muchos peligros y ,por supuesto, que cuando se trabaja bajo presión somos capaces de asaltar los sistemas de cualquier organismo gubernamental.

Otra de las míticas escenas de películas en la que vemos que un virus informático no es para nada una tontería, es en la película “Independence day”. En ella, un jovencísimo Jeff Goldblum hace un virus informático con su ordenador Mac para introducirlo en la nave nodriza de los invasores extraterrestres. Añadimos un bonus en el que el virus proyecta un videoclip en las pantallas de la nave nodriza (es una licencia que se ha tomado el que subió el video pero tal como lo ponen podría haber aparecido en el metraje original). Por supuesto esa nave es compatible con todos los periféricos de este mundo.

Después de unas pocas escenas de películas (son viejas pero ya se irán poniendo más), vamos a pasar con algunas de las series en las cuales también suelen ser habituales estas ”hollywoodienses” situaciones.

Una de las series más típicas en relación a este tema es “C.S.I. Miami”. En ella podemos ver siempre a alguno de sus protagonistas trabajando con la última tecnología para conseguir localizar al sospechoso. Por ejemplo, en la siguiente escena podemos encontrarnos como el informático del departamento es capaz de mejorar una imagen de una cámara de fotos hasta el punto de poder obtener la imagen reflejada en el ojo de la persona en cuestión y así localizar al sospechoso en cuestión.

Si nos vamos a su análoga de New York, nos encontramos que los malos de la serie van posteando en su página web en tiempo real. Si encima después tenemos en cuenta los comentarios de Gary Sinise y compañia nos hacen pasar un rato bastante divertido.

Normalmente todos los números de teléfono de EEUU que aparecen en las series y películas, empiezan por el 555, ya que es un prefijo que no existe y,así, evitar que los fans de una serie llamen al número en cuestión. Quiero pensar que la serie “Numbers” hizo lo mismo con la IP que escribe el protagonista en el navegador, y así impedir que la gente se sintiera tentada a conectarse a esa dirección.

Otra con la que de verdad me he divertido mucho ha sido con la serie “Castle”. En ella un escritor ayuda a la policía a resolver los crímenes, lo que es lo mismo, una señorita Fletcher pero actual.

Esta no os voy a hacer spoiler, mejor vedla por vosotros mismos.

Tenemos que tener en cuenta que todas estas series y películas se han hecho para todos los públicos, y sobre todo que no hay tanto perfil técnico como para ver todos los fallos. En sucesivos post seguiremos poniendo nuevos videos, aunque además de los fallos que podemos ver, muchas veces también hacen las cosas bien y eso también se explicará.

The post Fallos de la Informática en Hollywood (I) appeared first on S3lab.