Me parece que se me había pasado comentaros pero…

Aunque el hacking empezó como una simple diversión para un grupo de jóvenes entusiastas, mucho ha cambiado desde entonces. Hoy en día, todos los países tienen, en mayor o menor medida, un grupo de respuesta o ataque de este tipo. Los ejemplos más claros serian la NSA y el CERT/CC (en el cual tuve la suerte de poder trabajar temporalmente) de Estados Unidos. Estamos viviendo lo que será recordado como el principio de las guerras digitales, donde los soldados usan teclados en lugar de fusiles automáticos.

Estas afirmaciones no son simples suposiciones o ciencia ficción, ya se han confirmado varios ataques de este tipo, que tenían como objetivo las infraestructuras críticas o datos de inteligencia de diferentes países. El primer caso descubierto fue Stuxnet, en 2010. La finalidad de este malware era hacer explotar los centrifugadores de Uranio de una planta de enriquecimiento nuclear de Iran, modificando los PLCs (Programmable Logic Controllers) de los mismos. Un año después, se descubrió el malware conocido como Duqu. Su objetivo en este caso no era hacer explotar nada, sino que se dedicaba a obtener información que posteriormente podría ser usada para realizar ataques similares a Stuxnet en diferentes sistemas de control industrial.

Tan solo un año más adelante, se descubrieron dos prueba más de estas batallas digitales, los malware Flamer y Gauss. Estos malware dejaban a un lado el apartado industrial y se centraban en obtener otro tipo de información privilegiada. Gauss se focalizaba en el robo de contraseñas y datos bancarios, pero Flamer iba un paso más, monitoreaba todo lo que el infectado escribía, e incluso específicamente guardaba las llamadas realizadas por Skype. Más recientemente, Ukrania ha sufrido dos ataques (Diciembre 2015 y 2016) que tiraron la red eléctrica de determinadas ciudades, utilizando el malware BlackEnergy. El último caso de este tipo apareció en 2017, que el malware Industroyer salió a la luz. A diferencia de los casos previos, este malware es altamente customizable, y permite atacar un gran número de sistemas de control industrial utilizando diferentes protocolos de comunicación.

A pesar de todos estos ataques altamente sofisticados, muchas infraestructuras criticas no están correctamente protegidas, y personas sin un alto conocimiento pueden a llegar a causar grandes problemas. Durante muchos años, este tipo de sistemas basaban gran parte de su seguridad en la conocida como security by obscurity. Principalmente, ocultaban su diseño e implementación para impedir o dificultar los ataques hacia ellos. Aunque basar tu seguridad en este concepto es completamenta incorrecto en cualquier momento, podía llegar a funcionar cuando estos sistemas estaban aislados, pero en la época de la hiperconectividad, esto no tiene ningún sentido. Actualmente existen varios buscadores de dispositivos conectados a la red, que permiten localizar sistemas vulnerables (o sin contraseña) en cuestión de segundos, sin la necesidad de realizar costosos escaneos globales.

Parece que las batallas digitales no son casos aislados, y que cada vez son más comunes. Si quieres estar preparado, te recomendamos empezar ha preocuparte por estas cosas, porque se dispararán varios unos y ceros durante las próximas décadas.

El que avisa no es traidor.

The post Cómo el hacking podría cambiar la historia appeared first on S3lab.

Me parece que se me había pasado comentaros pero…

Es posible pasar un fin de semana divertido con amigos mientras os dedicáis a hackear como si no hubiera un mañana, y por supuesto me refiero a hacerlo de forma legal. Todo esto es gracias a los diferentes CTFs («Captura La Bandera» en español) que se organizan a lo largo de todo el año. Estas competiciones permiten poner a prueba nuestras habilidades de hacking mediante diferentes pruebas o retos que tendremos que resolver. La forma de participar varía en cada caso: algunas veces toda la competición es pública, otras tienen una fase abierta (quals) y una final que se participa de forma física en un determinado lugar, en caso de haber pasado la eliminatoria previa. Generalmente hay dos tipos de CTFs:

• Jeopardy: En este caso, se van liberando retos en diferentes categorías y los equipos tienen que resolverlos para obtener la codiciada bandera. La bandera suele tratarse de un string de texto que demostrará que el equipo ha sido capaz de completar el reto satisfactoriamente, un ejemplo seria: «flag{congr4tz_y0u_found_1t}”. Algunas de las categorías más típicas son: Forensics (análisis forense), Crypto (criptografía), Pwn (explotación), Web y Misc (miscelánea). Esto no significa que todos los integrantes del equipo sean especialistas en todas esas áreas, sino que cada persona dentro del grupo tiene unos conocimientos específicos que ayudan.
• La liberación de nuevos retos depende mucho del organizador de la competición, aveces no se liberan nuevos retos hasta que un equipo haya sido capaz de resolver el reto previo, otras, la liberación de retos está atada a una planificación determinada. Respecto a la clasificación de puntos final, una vez más, depende completamente del organizador. Lo más común suele ser indicar una cantidad de puntos estática a cada reto, teniendo los más difíciles mayor número de puntos. En otras ocasiones, el valor de cada reto se calcula dependiendo de cuantos equipos hayan sido capaces de resolverlo. Por ejemplo, si un reto solo ha sido resuelto por 3 equipos, tendrá muchos puntos asociados, pero si todos los equipos han podido resolverlo, tendrá una puntuación muy baja.

• Attack-Defense: Este es, históricamente hablando, el primer tipo de CTF que existió. Aquí cada equipo dispone de una red/servidor con servicios vulnerables (al igual que en el caso de jeopardy, se irán liberando paulatinamente). Los equipos deberán desarrollar exploits para lanzarlos contra el resto de participantes y parchear sus propios servicios para impedir que el resto de participantes exploten los suyos. Cuando se parchea un servicio, este debe seguir funcionando, por tanto no se permiten bloqueos totales o parciales de los mismos.
• Automáticamente se comprobará que este tipo de conductas no ocurren, y que las banderas de cada equipo siguen en el lugar donde deben estar y no han sido eliminadas. Los organizadores van almacenando banderas en los servidores de los equipos periódicamente, por tanto no basta con exploitar un servicio de un equipo determinado una única vez, sino que el exploit se debe lanzar de forma continua hasta que el equipo logre parchear la vulnerabilidad, para lograr la mayor cantidad de banderas posibles. Los puntos para este tipo de competiciones se dividen en dos: puntos de defensa (depende de cómo hayas podido proteger las banderas) y puntos de ataque (depende de cuantas banderas hayas podido robar del resto de participantes).

Existen un gran número de CTFs a nivel mundial, pero sin duda DEF CON CTF es considerado el más prestigioso de ellos, siendo muchas veces conocido como la copa del mundo de los CTFs. Consta de una fase clasificatoria (DEF CON CTF Quals) del tipo jeopardy que permite el acceso a las finales que se celebran cada año en Las Vegas. Otra forma de llegar a las finales es haber obtenido el primer puesto en otros CTFs como PlaidCTF o iCTF. Este año ha sido la última edición con Legitimate Business Syndicate como organizadores, y han querido dar una vuelta de tuerca final con su nueva arquitectura cLEMENCy, con features tan pintorescas como middle endian o bytes de 9 bits en lugar de 8. Todo ello para «romper» todas las herramientas existentes y dar un toque de dificultad extra. He vivido todas estas dificultas personalmente (ya que he participado como parte del equipo Shellphish) y os puedo asegurar que lograron dicho objetivo. A pesar de ello, logramos un muy buen séptimo puesto (parte superior de la tabla).

Si queréis empezar a jugar CTFs, echarle un ojo a estas herramientas, os pueden venir muy bien. Y no olvidéis estar atentos a los diferentes CTFs o las posiciones de otros equipos en CTFtime. Pero os aviso, no es algo para todos los públicos, estad preparados para arrancaros mas de un pelo.

El que avisa no es traidor.

The post Capture The Flag, haciendo del hacking un juego appeared first on S3lab.

Aunque para muchos cueste creerlo, había un tiempo en el que el malware no era una herramienta creada para generar la mayor cantidad de dinero posible. Las principales motivaciones de esos old-school hackers eran cosas tan terrenales como la diversión o cierta fama y reconocimiento.

Gracias a Internet Archive, tenemos la suerte de poder probar 86 muestras de esas una vez odiadas piezas de software sin tener que sufrir sus terribles consecuencias. Personalmente considero que uno de los malware más curiosos de la época de los 80-90 es el bien nombrado CASINO. Podeis probar suerte en el emulador de MS-DOS inferior que resulta completamente inofensivo.

Este malware fue “descubierto” en Abril del 1991 por David Chess (IBM) en Malta. Su función principal era la infección de archivos binarios ejecutables COM, ampliamente utilizados en la era MS-DOS. Una vez infectado, CASINO se activaba los días 15 de Enero, Abril y Agosto. Indicaba que había destruido la tabla de asignación de archivos (FAT) del disco y que había almacenado una copia en la RAM para darte una oportunidad de salvar tus datos. Por supuesto, si apagábamos el equipo en ese momento, los datos se perderían para siempre.

Aparecía una tragaperras con 5 créditos para lograr el jackpot (nuestros datos). Con un £££ impedíamos la corrupción del disco y no perdíamos ningún dato, pero cualquier otra combinación conllevaba el borrado de la FAT. Incluso contenía un easter egg en forma de respuesta curiosa en caso de obtener ??? en el juego. La verdad es que originalidad no le faltaba.

No hay que olvidar que aunque pueda parecer muy gracioso y entretenido ahora, fue una pesadilla para cualquiera que lo sufrió en su tiempo. Como se suele decir, las modas son ciclicas, asique igual estamos cada vez mas cerca de volver a ver este tipo de malware en nuestras pantallas.

El que avisa no es traidor.

The post Cuando el dinero no lo era todo en el malware appeared first on S3lab.

En aquellos tiempos nos sentiamos hackers al leer la «guía del hacking (mayormente) inofensivo» de Carolyn P. Meinel, o cuando conseguiamos ejecutar algún exploit que habíamos conseguido por internet, sin saber muy bien que coño estabamos haciendo. El acceso a la información era mucho más limitado, y nos limitabamos a entrar en el irc hispano a preguntar a nuestros amigos sobre algún tema under (con los que normalmente estabamos más tiempo que con los amigos en 3d) o entrando en webs como «viva el jamon y el vino», «isla tortuga» o la «taberna de van hackez».

Lo mejor de todo ello eran las charlas en el IRC que nunca podré olvidar. Horas muertas practicando irc-war (gracías por esa guía RomanSoft) con nuestros scripts del mirc, o en Linux con mi amado BitchX. Te sentias alguien grande cuando salía algún bug gordo con el que podías pasar semanas jugando con servidores por todo internet (aquí guardo un recuerdo especial para el bug de unicode del IIS), o cuando conseguias hacer algo que creias que nadie más había logrados despues de varios días sin dormir.

La mejor fuente de información eran las ezines, en las cuales había que escribir algo si te querías sentir un verdadero hacker. Phrack, en ingles, y SET, en castellano, erán las mejores. Hemos aprendido muchas cosas de esas ezines, haciendo mil pruebas, perdiendo mil horas, leyendo una y otra vez.

En aquellos tiempos no había tanto control como ahora, y podías trastear por internet a tus anchas. Los servidores no estaban practicamente protegidos y podías dejar tu ordenador hacíendo escaneos de puertos, hasta que te llegaba una carta de tu ISP diciendote que parases (cosa que ninguno haciamos). No creo que ningún administrador mirase los logs de su sistema y si lo hacían en muchos casos seguro que alucinaban al ver alguna batalla campal que se producía en alguno de ellos.

Ahora todos somos profesionales trabajando para empresas de seguridad (alguno con su propia empresa) con certificados en seguridad o con nuestros estudios. No recuerdo cuando fue la última vez que entré en el IRC, y hacer alguna tontería por internet te puede llevar a la carcel en el peor de los casos. Prácticamente no investigamos ya que en nuesta vida no tenemos tiempo para ello, algunos tienen familia y otros están hasta arriba de trabajo, etc.

Supongo que es una evolución natural de ir haciendose mayor y de como ha evolucionado la sociedad, pero aun así echo de menos esos tiempos.

The post Recuerdos Underground appeared first on S3lab.

Aunque sí que es verdad que los hackeos más complejos pueden requerir grandes conocimientos, existen herramientas para realizar muchas tareas de forma automática y para gente no tan experta. Incluso puede llegar a pasar que un usuario con poco o casi ningún conocimiento sea capaz de crear un ejecutable que te da en muchos casos el control pleno del ordenador atacado.

Un ejemplo de esto puede ser la herramienta “Social Engineering Toolkit” (SET), bastan 5 pasos para crear un fichero (ejecutable, pdf, etc… Puedes escoger en el menú que te muestra) que sea capaz de crear, por ejemplo, una conexión en cuanto un usuario le haga doble clic. También es posible crear memorias usb o cds infectados para que nada más que el usuario lo introduzca en el ordenador este cree una conexión al atacante. Todo esto se puede hacer a traves de menús que cualquier persona puede seguir. Con esta herramienta y Google para consultar los detalles que no se conocen se pueden hacer binarios maliciosos en poco tiempo.

Otras herramientas como Metasploit (sobre el que se apoya SET) permiten lanzar exploits contra equipos de forma remota, con una base de datos sobre exploits que se actualiza con mucha frecuencia con los últimos exploits del mercado. Esta herramienta ya requiere unos conocimientos un poco mayores, pero como con el caso anterior, alguien con la suficiente motivación puede lanzar un exploit para entrar en equipos remotos en poco tiempo.

Incluso puede llegar a ser fácil hackear alguna web. Herramientas como w3af hacen que los ataques a webs puedan ser realizados con relativa facilidad. La forma de trabajar con esta herramienta es muy similar a la de metasploit.

La facilidad que dan estas herramientas hacen que un usuario sin experiencia sea capaz de realizar acciones que hasta hace no mucho estaban totalmente fuera de su alcance. Existen muchos vídeos en internet de como realizar muchas operaciones con estos programas y la instalación es prácticamente nula porque te puedes descargar una distribución de Linux especialmente diseñada para la seguridad en la cual todo viene ya configurado, y ni siquiera tienes que tener instalado Linux en tu máquina.

Como vemos es muy fácil llegar poder hackear a alguien, lo cual es una doble moral con estas herramientas. ¿Esta bien que todo el mundo pueda acceder a ellas y puedan llegar a conseguir un ordenador fácilmente?

The post ¿Es fácil hackear a alguien? appeared first on S3lab.