Category Archives: Uncategorized

  • 0

Hacking con imágenes 2

En un post anterior se describió un posible ataque a través de imágenes bmp, esta vez vamos a hablar de otro tipo de ataque pero también a través de imágenes. La diferencia es que, esta vez, el ataque es del lado del cliente y/o servidor que funciona con imágenes de tipo jpg.

El peligro puede venir de parte del lado del servidor, siempre que en una web exista algún método de subir una imagen jpg. Este problema es muy típico que en foros y otros sitios web donde el usuario tiene permitido subir imágenes y compartirlas con los demás usuarios.

A grandes rasgos el problema se produce al no comprobar el servidor si la “supuesta” imagen que sube el usuario es en realidad una imagen.

Vamos a ver como se puede aprovechar las medidas que se usan para comprobar el código fuente del lado de un servidor, en el siguiente codigo vemos que el servidor comprueba si el tipo del fichero subido es “image/jpg”. Veamos un ejemplo:

<input name="fileToUpload" type="file" onchange="check_file()" >
if($_FILES['userfile']['type'] != "image/jpg")

Muchas veces los programadores utilizarán un código similar que  hace lo que se supone debe hacer, checkea el archivo para comprobar la extensión de lo subido. Lo malo es que si solo hace la comprobación del tipo de archivo al que se refiere se puede truncar esta medida de comprobación cambiando por ejemplo la extensión del archivo.

Por ejemplo, en programación esto definiría los tipos de extensiones permitidas.

$valid_file_extensions = array(".jpg", ".jpeg", ".gif", ".png");

Hay que tener muy en cuenta la hora de filtrar las entradas de usuario que pueden reportar un comportamiento distinto al esperado e implementarlo a través de la programación.

Funciones como strrchr dan mucho juego pues puede ser utilizado para que se consiga baypassear esta comprobación.

$file_extension = strrchr($_FILES["file"]["name"], ".");

Ejemplo de posibles intentos que en muchos casos pueden llegar a funcionar, al subir una imagen a una web que solo comprueba alguna función del tipo strrchr. Con imaginación , alguien maliciosamente podría testear funciones e intentar subir una webshell como c99. Tenemos un ejemplo de este tipo en la siguiente URL http://www.php.net/manual/en/function.strrchr.php

c99.jpg.php – Es posible que llegue a satisfacer la subida del jpg

c99.jpg.PhP – Ofuscación.

c99.php;.jpg – A veces puede ignorar lo que hay detrás de un ;

c99.php.test – Puede ser que se ignore .test

c99.php.xxxjpg – Es posible que invalide el final xxxjpg por invalido

De nuevo, para explotar este tipo de vulnerabilidad, necesitaremos de algo que convierta una imagen esta vez jpg, en una webshell con código malicioso. Esta herramienta nos permite utilizar el espacio de de los metadatos que contiene un jpg para insertar ese código. Simplemente genial.

http://kaoticcreations.blogspot.co.uk/2013/10/ohno-evil-image-builder-meta-manipulator.html

Desde el punto de vista de la programación cada vez más, se están estableciendo unos patrones de metodología de control del desarrollo de la aplicación a nivel de la seguridad. Existen una serie de metodologías que ayudan a realizar ese tipo de comprobaciones. Entendemos que esto es algo que no debe estar resumido en una API de control de usuarios, sino como parte de una rutina que el programador debe asumir además como llevar un control de excepciones (exceptions, errors, etc) que pueda reportarle la aplicación. Se puede resumir en no dejar cabos sueltos, ya que el no tratarlos correctamente puede terminar por convertirse en una vulnerabilidad y ser explotada.

Por todo ello es recomendable que para cualquier proyecto existan una serie de protocolos, metodologías, asesores que guíen en todas las fases de vida de dicho proyecto desde el punto de vista de la seguridad. Cuanto antes se introduzcan expertos o metodologías de seguridad en un proyecto ayudara a que los costes de los cambios sean mínimos si lo comparamos con los costes que se pueden dar en, por ejemplo, reestructurar una herramienta para implementar contramedidas para que los “usuarios” no suban ficheros que no debieran.

Recordar que la seguridad es una lucha de todos, tanto de los que prestan los servicios (web, programas, etc) como del usuario. La seguridad debe de ser proactiva por ambas partes.

Nuestra empresa estará encantada de ayudarles en sus proyectos de seguridad con un grupo de profesionales altamente cualificados que darán soluciones a sus problemas y necesidades

 

 


  • 0

  • 1

OWASP Mobile Security Project

Selección_004Ahora que se acercan las vacaciones, empezamos o a pensar en la cantidad de nuevas vulnerabilidades encontradas para los distintos sistemas operativos de los móviles de los últimos meses, pues son fechas en las que tendemos a utilizar estos, en especial los que tienen acceso a redes 3G/4G y por supuesto incorporan tecnología wireless, vamos, lo que se dice un  smartphone.

Así que la gran pregunta es si se puede usar el móvil con seguridad y privacidad cuando estamos fuera de casa, a sabiendas de los riesgos que supuestamente corremos al conectarnos a redes desconocidas y/o no confiables. Tanto es así que hasta se ha creado una agencia europea. ENISA es la agencia europea por la información y la seguridad en la red y en su web podemos encontrar su propio top 10 de estos riesgos. Si profundizamos en esta web podemos ver que hay una descripción de los posibles ataques y sus posibles ejecuciones, pero siendo un poco crítico con Enisa tengo que decir que tienen que actualizar la información, si bien, Enisa sigue de cerca y tiene colaboración con OWASP, he observado que la información que está exponiende corresponde mayormente al año 2010 y que dicha información tiene en mi humilde opinión una catalogación menos precisa de estos riesgos. De hecho los riegos 1,2 y 3 que Enisa clasifica vienen englobados en la categoría M2 de OWASP.

Top Ten Smartphone Risks. EU Enisa

OWASP es sin duda la fundación que en este momento ofrece una auténtica metodología de trabajo en torno a la seguridad bajo una perspectiva libre y eficiente, así que ¿Por qué no vamos a hacerles más caso y ver que nos ofrecen al respecto?. En estos momentos el este proyecto tiene poco más de unos años de desarrollo pero es prometedor 
OWASP Mobile Project 2012 Goals

Selección_005

En el siguiente vídeo se nos muestra el Top 10 de vulnerabilidades encontradas en los últimos 3 años, esto es, desde el 2011, para dispositivos móviles. Cuales son los nuevos y últimos ataques y sus tipos. Que está cambiando respecto a estos 3 últimos años en cuanto al tipo de ataques y sus riesgos, además nos da una perspectiva general de como está en este momento la seguridad en el entorno del mundo del smartphone, a esta presentación le han puesto de título OWASP Top 10 Mobile Risks: 2014 Reboot, creo con la doble intención de hacer entender que el proceso de auditoría de seguridad en continuo y como un toque de atención a desarrolladores y empresas para que pongan más esfuerzos en desarrollar tecnología confiable y segura.

 


A la izquierda las viejas amenazas y su antigua clasificación (en gris), a la derecha la nueva clasificación de las amenazas.

Selección_007Selección_008

Traduciendo todo esto:

M1 Weak Server Side Controls: Ataques del lado del servidor. Los atacantes buscan vulnerabilidades en los servidores y una vez explotadas estas vulnerabilidades inyectan código maliciosos que luego intentarán apoderarse de nuestro terminal o ejecutar más código malicioso en el.
M2 Insecure Data Storage: Almacenamiento inseguro de datos. Se refiere mayormente a la perdida o robo de dispositivos móviles y el almacenamiento inseguro de los datos que este contiene.
M3 Insufficient Transport Layer Protection: Insuficiencia en la capa de transporte. Como se protege el transporte de los datos respecto a terceros que podrían estar ecuchando.
M4 Unintended Data Leakage: Se refiere a la perdida de datos por desentendimiento entre las aplicaciones y por ejemplo, el sistema operativo, hardware nuevo, nuevas configuraciones.
M5 Poor Authorization and Authentication: Pobre autorización y autenticación. Ya sean tokens u otros modos de autorización, una aplicación que se precie tiene siempre que evitar estos errores graves de seguridad.
M6 Broken Cryptography:  Criptografía rota. Mala praxis a la hora de utilizar criptografía obsoleta o rota.
M7 Client Side Injection: Inyecciones del lado del cliente. Siempre que un usuario este expuesto, puede existir la posibilidad de verse atacado por algún exploit o sniffing directamente contra su terminal. Inyección de código malicioso del lado del cliente.
M8 Security Decisions Via Untrusted Inputs: Decisiones de seguridad a través de entrada no confiables. Se supone que una aplicación móvil debería solo interactuar con otras aplicaciones confiables, dado que el si la aplicación utiliza software no confiable este podría contener código que aún no siendo malicioso podría ser aprovechado para realizar un ataque contra un terminal.
M9 Improper Session Handling: Impropio mantenimiento de la sesión. Mantener la vigilancia de las sesiones es tan importancia como su establecimiento en condiciones de seguridad. Si no se crean mecanismos para controlar una sesión ya sea mediante tokens u otros sistemas, es posible que alguien pudiera aprovechar el momento propicio para suplantar la misma.
M10 Lack of Binary Protections: Falta de protección en binarios. Es un tema controvertido puesto que existe mucho software bajo licencia GNU. Pero se hace referencia a que cualquier desalmado podría apoderarse de los posibles beneficios que podría generar una aplicación en el mercado si no se protegen adecuadamente los binarios. Mediante por ejemplo ingeniería reversa.


Conclusiones: Día a día nos encontramos con noticias de spyware, malware, y todo tipo de software malicioso orientado a los móviles, hay q tener clara dos cosas. Una, el smartphone almacena información personal y dos, es un ordenador con conectividad, por lo tanto es subceptible sufrir ataques por ejemplo contra la privacidad, tales como que nos “espien el whatsapp”. Sería de sentido común popularizar la idea de que la privacidad es una obligación más que un ocultamiento y de que un teléfono no es tan personal como muchos se creen.

Más info y presentaciones
Top Ten Mobile Risks
OWASP Mobile Security Project


  • 2

TOR. The Onion Router

Category : Redes , Tor , Uncategorized

TOR The Onion Router

Mucha gente se empieza a interesar en TOR, en su funcionamiento y en sus posibilidades en cuanto al anonimato.

¿Que es Tor? Tor es una red que funciona sobre internet. Nació como un proyecto de la marina estadounidense con el propósito de proteger las comunicaciones militares y gubernamentales. Más tarde el proyecto fue liberado y hoy en día es utilizado por gran número de personas, sean periodistas, gobiernos, activistas, o cualquier otro que quiera proteger su identidad durante sus actividades en la red.

Tor funciona a través de una serie de túneles virtuales, que impiden reconocer el origen de las ips que establecen una comunicación, tratando de asegurar el anonimato.

Lo primero que hace el tor proxy en la maquina donde se instala, es descargar la lista de los tor nodes, para crear un circuito. Estos nodes pertenecen a organizaciones o personas que contribuyen al proyecto de forma altruista mayormente.

El proxy selecciona un nodo de entrada creando la primera clave de sesión, y seguidamente buscará, un middel node con el que extender el circuito por supuesto con otra clave de sesión , hasta el nodo de salida, con el que establecerá otra última clave de sesión TSL

Ahora que está creado el circuito con las claves de cada una de las sesiones, se puede cifrar un mensaje en tres capas, de tal forma que el nodo de entrada desencripta la primera capa, el segundo, la segunda capa y el de salida la última, cada uno con su clave que contendrá los datos con la ip de destino. Como es lógico el nodo de entrada y de salida ignoran por completo cual es el destino, solo el nodo de salida es el conocedor de esta información tras descifrar la última capa del mensaje cifrado. Haciendo que sea muy difícil localizar la ip de origen de dicho tráfico.

Tor-onion-network

 

Onion_diagram

 

La forma que se establece la seguridad en capas es lo que le da el nombre de onion, cebolla en inglés.

Hidden Services, La deep web.

Los hidden services son servicios de internet que funcionan a través de la red de tor. Cualquiera puede montar un servidor “oculto” en la deep web, ya sea porque no quiere publicarlo en internet o bien porque su ISP no permite ese tipo de servicios, su país lo blockea, temas leagales o de censura, etc.

Para generar un hidden service, hace falta crear una dirección en tor. Es un hash con números y letras que termina con una extensión .onion la más famosa de estas direcciones es the hidden wiki, una wiki con los principales enlaces a hidden services de la red tor.

http://kpvz7ki2v5agwt35.onion.to/wiki/‎ (en este caso un servicio web)

Si no funciona este enlace, es normal, tor es una red distribuida y puede caerse una parte o bien puede haber mirrors de la misma web o simplemente han cambiado el hostname.

Estos enlances son distribuidos entre los tor relays, ordenadores destinados a contribuir al proyector tor, lo que hacen es utilizar un protocolo p2p. Lo que consigue es poner en contacto a un usuario con el servicio en concreto, sin exponer como se pretende, el anonimato.

Empezar a usar tor es tan fácil como descargarse el tor boundle de la página, https://www.torproject.org en su versión para cada sistema operativo que lo soporta.

Es un conjunto de herramientas que nos permitirán navegar por internet anónimamente, ya que incluye una versión modificada del navegador firefox, configurada para utilizar tor.

Pablo Martínez. Team Sec


  • 0

La fuerza bruta, bruteforce

La fuerza bruta

La fuerza bruta es una de las más utilizadas técnicas dentro del mundo del hacking. Consiste en probar sistemáticamente claves y comparar el resultado de su encriptación con la clave que se quiere descifrar, o directamente si el sistema al que queremos acceder nos da acceso al introducir alguna de las claves que estamos probando.

Seguramente esta técnica surgió cuando se empezaron a implantar sistemas de claves de acceso a los ordenadores y alguien intentó entrar en la computadora de un tercero sin su permiso sentándose delante del teclado ajeno y probando contraseñas. Esto lo hemos visto todos en Hollywood y acertaban. En muchos casos porque el atacante investigaba la vida y costumbres de la persona que había diseñado el sistema (Juegos de guerra , JOSUA) o simplemente por el “supuesto ego” del administrador (Hackers piratas informáticos, GOD).

El caso es que realmente esta técnica funciona, muchos usuarios utilizan contraseñas como la fecha de su aniversario, el día de su boda, el nombre de su mascota, por no hablar de las passwords más utilizadas, tal es hay una auditoría del ranking de las passwords más utilizadas : http://splashdata.blogspot.com.es/2014/01/worst-passwords-of-2013-our-annual-list.html

Las noticias sobre seguridad en las contraseñas son quizás el punto más importante de seguridad en un sistema, puesto que la mínima vulnerabilidad que exponga un fichero del sistema que contenga contraseñas, podría ser objeto de análisis para su desencriptación y tener acceso al sistema vulnerado por suplantación.

¿Se puede desencriptar una clave? La pregunta del millón que todo el mundo hace cuando comienza con esto del “cracking”. Respuesta, algunas sí, otras no y otras no sabemos.

Como muchos ya saben la fuerza de un clave depende de su algoritmo y de longitud. Existen numerosos algoritmos de encriptación de claves AES, MD5, SHA1 entre otros muchos, que no vamos a describir por su complejidad matemática. Por ejemplo el algoritmo utilizado para el protocolo de seguridad wireless WEP, como ya muchos se imaginan, está roto. Técnicamente La implementación del vector de inicialización (IV) en el algoritmo WEP tiene varios problemas de seguridad mas info ( htp://www.monografias.com/trabajos18/protocolo-wep/protocolo-wep.shtml)

Como se ve, algunos algoritmos a través de algunas técnicas pueden hacerse reversibles, esto no quiere decir que a través de la clave cifrada se pueda obtener la clave original, pero como es bien sabido reuniendo suficiente información como hace aircrack (una suite para hacking wireless) , se puede desencriptar dicha clave, en base a un protocolo de seguridad fallido.

 

Las GPUS, un nuevo nicho del cracking.

En algún momento, alguien calló en la cuenta de que utilizar las GPU de las tarjetas de vídeo eran excelentes para realizar el tipo de operaciones criptográficas que necesitan los cálculos matemáticos durante el encriptado, de esta forma la GPU puede realizar estos cálculos en ciclos muy rápidos y en paralelo, multiplicando el número de operaciones que puede realizar un procesador con creces, e incluso se ha creado un mercado en torno a las tarjetas ASIC, exclusivas para este tipo de operaciones por ejemplo en minado de moneadas virtuales, como Bitcoin o DogeCoin, que necesitan de operaciones criptográficas complejas.

Recientes noticias nos confirman que cualquier clave de windows puede ser descifrada en 6 horas con un cluster de 25 tarjetas de video o GPUS:

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Esto nos indica que la vulnerabilidad de un sistema, en muchos casos depende de unas 6 horas y estamos hablando del sistema operativo más extendido del mundo, todo gracias a la potencia de las GPUS.

Pese a todo, aún no está todo perdido en cuanto a las contraseñas. Como ya todo el mundo adivina, hay formas en las que podemos mitigar, en cuanto a los ataque por fuerza bruta , puesto que hay rumores de que ciertos gobiernos tienen la capacidad de desencriptar todo tipo de cifrados. Así lo revelaron numerosos diarios y medios donde se habla de un espionaje masivo por parte de la NSA americana. Si bien es un tema controvertido ya que se rumorea que hubiera necesitado introducir falsos generadores de pares de números aleatorios para crear certificados web que les permitirían de alguna manera atacar el vector del cifrado SSL.

A tener en cuenta sobre la seguridad en las contraseñas:

La fuerza de las contraseñas reside en el algoritmo que las genera, en su longitud y en su complejidad.

Nos referiremos a la complejidad se refiere al número de símbolos utilizados.

La fuerza de la contraseña reside en parte al número de símbolos o caracteres que utiliza, probabilisticamente hablando una contraseña es más fuerte si utiliza un mayor número de símbolos, es por ello que se recomiende usar Mayúsculas minúsculas, números y caracteres en una contraseña.

Aún así el fallo más común respecto a la elección de este tipo de contraseñas sigue siendo la longitud. Muchos usarios creen que usar “l33t” como “1l0v3y0u” o “D4n13l” son suficientes como para eludir un crackeo por parte de hackers de su password. Pues va a ser que no. Ya no solo por los famosos diccionarios l33t, sino porque una contraseña de menos de 8 caracteres es hoy por hoy factible en términos matemáticos atacarla por fuerza bruta y descifrarla en pocas horas.

Así pues en un teclado medio qwerty, tenemos 26×2 letras (mayúsculas y minúsculas) + 10 números + 127 símbolos ascci. Si tenemos en cuenta esto 52 letras + 10 números + 127 símbolos, nos da una suma finita 251. Suponiendo una clave de 7 digitos obtenemos :

Selección_011

En combinatoria da un número bastante grande, pero no lo suficiente para cualquier computador moderno. Como con 251 no nos va a funcionar en cualquier calculadora ordinaria para el caso vamos a utilizar uno que nuestra calculadora si podremos factorizar para este ejemplo, el 150, para que se pueda comprobar el ejemplo con la calculador de windows o una calculadora de mano. Para el caso por ejemplo, de que el ataque no contase con que el usuario use símbolos raramente utilizados en las contraseñas como & % o ~.

Tal que:

Selección_010

Parece un número grande, pero no se engañe, este número habrá que dividirlo entre el número de contraseñas que puede calcular el hardware por cada segundo y luego podremos estimar el tiempo que se tardará en descifrar la clave dependiendo como dijimos de su fuerza. Como ya dije, las claves de windows son totalmente inseguras para un hardware aparentemente asequible para cualquier organización criminal o de espionaje.

Hay varios sitios para comprobar la dureza de una clave y para calcular el tiempo necesario teórico para crackearla

http://superpatanegra.com/generadores/claves/comprobar/

http://calc.opensecurityresearch.com/

http://geodsoft.com/cgi-bin/crakcalc.pl

Iceweasel_026

 

Como mostramos en la imagen, hemos probado con un tipo de clave http autentication, y nos dice 1 years 45 days 15 hours 40 minutes 2 seconds , pero estamos hablando de un solo ordenador, ahora imaginemos 10 GPUs y veremos que el tiempo se reduciría en una relacion 1/10 a 41 días, aproximadamente.
La contraseña no es en sí una medida de seguridad. La contraseña en sí es un impedimento para que cualquiera pueda acceder al sistema, pero un sistema debe implementar sus propias medidas de seguridad. Olvide la vieja idea de “Le he puesto password, está protegido”, sería como decir que los ladrones tienen miedo a los candados.

Por ejemplo que los usuarios utilicen contraseñas seguras no son ninguna garantía de seguridad informática, aunque indirectamente ayuden a impedir accesos no deseados al sistema, hay muchas otras técnicas que pueden poner una contraseña al descubierto, como el phising, malware, virus, etc.

Es importante que dentro de la cultura corporativa especialmente los usuarios tengan en cuenta lo siguiente:

No mezclar los passwords del trabajo con los de web externas.

No usar el mismo password en muchos sitios web.

Cambiar el password habitualmente, en aquellos casos donde el servicio sea crítico y hacer buen recaudo de el mismo.

Nunca revelar la password. Pese a que alguien te lo suplique por correo. Casi siempre el administrador de un sistema tiene suficiente control sobre el mismo para resetear, cambiar o reasignar una contraseña sin necesidad de consulta al usuario, normalmente es el usuario es el que suele solicitar ese cambio o información y no al revés.

Hacer las auditorías necesarias para la seguridad, en el sistema informático y sobre la seguridad de los equipos que lo componen.

Que los usuarios tengan cultura sobre ciberseguridad ayuda mucho más que todo lo anterior junto, porque ellos mismos podrían darse cuenta de alguna anomalía, avisar o incluso tomar medidas.

Pablo Martínez Team Sec


  • 0

Outernet, wifi gratis desde el espacio.

Después de ver los avances en micro-ordenadores tales como Raspberry, Cubieboard, Cubietruck… vamos viendo la tendencia a abaratar costes miniaturizando todo. En este tema en concreto nos lanzamos al espacio exterior para contemplar la implementación global de uno de los grandes avances de este tiempo, los satélites de bajo coste. Así lo explica dailymail.co.uk en su página web. Outernet es un proyecto de la organización “Media Development Investment Fund (MDIF)“, ¿Su objetivo? Acceso web gratis para todo el mundo vía de satélite.

En este ambicioso proyecto se planean poner en órbita cientos de satélites alrededor del mundo entero, incluyendo países castigados bajo el yugo de la censura como China o Korea del norte, con esto se pretende un acceso más libre a la información sin tener que estar sometidos a la voluntad del gobierno censor en cuestión.

Para ello van a necesitar muchos cubesats, satélites pequeños de bajo coste con los que pretenden dar cobertura al mundo entero en junio del 2015. La forma de transmisión será a través del protocolo UDP, un protocolo que no necesita confirmación del envío de paquetes. Al ser una red wifi a gran escala, uno se plantea de qué forma irá implementada la seguridad y si realmente es posible mantener una red wireless para el mundo, contando con la cantidad de problemas que también ello acarrearía.
Gracias a estos pequeños satélites podemos ver crecer otros proyectos como éste, de la universidad de Vigo, tiendas online de Cubesat. Esto podrá suponer un adelanto en materia de investigación, se reducirían los costes a menos de 10.000 dólares por microsatélite pesando 1kg y un volumen de 1 litro.

Imagen de un cubesat:

Varias compañías como Wikipedia y Ubuntu entre otras han decidido dar el sí para aprobar esta propuesta, la cual se supone que estará en fase de pruebas en junio de 2015.

 

 


  • 0

Sobre la ética hacker, la auditoría de seguridad o el mal llamado “Hacking ético”

sombreros_hackerLarga es la discusión para definir el término hacker.., En España por ejemplo todavía existe la idea del pirata informático, cracker o maligno creador de virus como tal. No obstante sabemos que España es uno de esos paraísos donde la mal llamada piratería siempre ha campado a sus anchas. Las cintas de cassette de los 80, los cds de los 90 y las leyes contra la “piratería” inventadas en los últimos tiempos, son claro ejemplo de que a España siempre le ha gustado hackear los sistemas  o que no le ha quedado otra a sus ciudadanos para llegar a la información.

En algunos casos se han escuchado auténticas barbaridades como que todos los hackers son delincuentes, por no hablar del agravio comparativo de lo que supone un delito de lesiones, sangre, violación, secuestro, etc con los que a veces se compara las tropelías ejercidas, eso sí, por ciberdelincuentes, cuyo mayor delito, en muchos casos, no es más que apropiarse de una información que en teoría no les pertenece. Un militar está entrenado para matar, sin embargo no llamamos asesinos a los militares, está lógica no se aplica mayormente a los hackers.

Esta asociación entre conocimiento y aplicación del mismo ha hecho que el termino hacker este asociado especialmente en nuestro país con la delincuencia electrónica y aún más ahondando en la interpretación psicológica que nos dice que lo desconocido siempre a causado respeto y temor haciendo que los hackers sean definidos, o bien entre los héroes o bien entre los villanos.

La verdad es que la percepción sobre los hackers está gravemente influenciada por las películas de Hollywood, donde el hacker es un malvado ciberdelincuente que se cuela en el ordenador de la CIA y anula los sistemas satelitales y de defensa o bien, es un joven superdotado que salva al mundo de un peligro electrónico o de anterior.

La ética y el hacking. De todos es conocido que muchas de las cosas que hacen los hackers rozan con la ética. Así pues, en su mayoría son conocimientos adquiridos que aplicados de una forma no esperada, pueden hacer que un sistema se comporte de una forma de la que se puede sacar alguna aplicación a un fallo como la fuga de información. Así pues, podemos hacer hacking de todo tipo, desde hackear una máquina de refrescos, abrir un candado sin una llave, o modificar una página web, esto también son consideradas formas de hacking.

Como se habrá podido sobreentender del párrafo anterior, todas estas acciones sobre sistemas pueden chocar con la ética de las personas, sobre todo , si eres el dueño de la máquina, del candado de la bici o el administrador de la web en cuestión. Es aquí donde entre la ética del hacker.

Como es nuestra especialidad nos centraremos en este caso de la página web, imaginemos, por ejemplo, que el hacker es en realidad, un simple estudiante probando técnicas de hacking de una vulnerabilidad web. Su intención probablemente será comprobar que la página es vulnerable a una inyección SQL y trataría de extraer información. Sus intenciones no son tan malas, si no hace mal uso de la información que pudiese extraer, por ejemplo si después de extraer los datos, simplemente se siente contento y los borra, esto podría considerarse un comportamiento ético dentro de lo razonable y siempre y cuando no tenga otra motivación que el propio logro.

En otro escenario un hacker que está en contra por ejemplo de los gustos musicales de los usuarios de un foro web sobre música y decide borrar todos los comentarios. En este caso, tenemos que efectivamente su intención es de hacer daño y destruir información. Claramente sus intenciones chocan con la ética.

En ambos casos muchos se supondrán el problema ético del acceso no deseado a la página web, pero realmente es un dilema estúpido que no beneficia en absoluto a la seguridad de los propios sistemas. Lo importante realmente es que alguien a podido saltarse los mecanismos de seguiridad y que podría volver a pasar y las consecuencias que pueden ocurrir a raiz de ello.

No obstante cuando Anonymous atacó la página de Lolita city, conocida web pedofila de la darknet, fue considerada una acción ética, y en absoluto se puso en entredicho la legitimidad de los métodos empleados, sino la finalidad de los mismos. Esto choca frontalmente con la idea de el “hacking ético” que se define como una auditoría de hacking consentida por la parte interesada en llevar a cabo dicha auditoría, pues en este caso se realizo una auditoría sin consentimiento.

Muchos gobiernos han puesto auténticas leyes represivas sobre los accesos a sistemas, que además suponen además un grave peligro para su propia seguridad. Una nación sin jóvenes con educación en la penetración de sistemas y en el conocimiento de estas técnicas puesto que sufren el temor de ser arrestados o perseguidos por la justicia y además penados gravemente si lo hacen, no tendrá defensa ante los ciberdelincuentes, que sí se han enfrentado a diferentes sistemas y escenarios donde conocerán las vulnerabilidades de los mismos. La ciberseguridad se esta convirtiendo en uno de los pilares de las telecomunicaciones. Tanto es así que nos resulta chocante que a medida que ha aumentado la persecución a simples aprendices de hackers que escanean redes y puertos, también ha ido aumentando el número de noticias que indican el constante espionaje al que estamos siendo sometidos por los propios gobiernos e sus instituciones como son los continuos escándalos de EEUU a través de la NSA, curioso es, que en EEUU esté considerado delito el escaneo de puertos.

La la auditoría de seguridad informática, o mal llamado “hacking ético” es estrictamente aquel en que la parte interesada en realizar la auditoría, da su consentimiento al auditor, para que ponga a prueba sus sistemas y de esa forma buscar los puntos débiles de los mismo para intentar mejorar la seguridad de estos. Insisto mal llamado hacking ético porque la seguridad no tiene nada que ver con la ética, la seguridad informática no difiere en absoluto con cualquier otro tipo de medidas de seguridad, ya sea poner una cerradura o una alarma.

El dilema ético de si te puedo abrir el candado o no, es estúpido, porque yo quizás pueda abrírtelo, pero vendrá otro que además de abrirlo, se llevará la bicicleta. Muchas veces se mata al mensajero y no el mensaje.

Pablo Martínez, TeamSec

 


  • 0

Teamsec

Category : Uncategorized

Teamsec

Hola amig@s,

Teamsec ya tiene oficialmente blog.

Para los que no sepan qué es Teamsec, os explico un poco nuestra historia:

Teamsec fue fundada en el año 2009 por tres expertos en seguridad informática para dar servicios de ciberseguridad a medianas y grandes empresas. La compañía se centró en ayudar a los clientes a mejorar la seguridad de sus páginas Web y sus sistemas informáticos.

A mediados del año 2013, Teamsec entra a formar parte de un grupo de empresas muy diversificado por sus objetos sociales, que incluyen, la publicidad, la seguridad, la asesoría política y empresarial, la ciberseguridad, las soluciones informáticas, la micro y macro informática, entre otras actividades.

La práctica de ciberseguridad y condiciones de aseguramiento e investigación digital por parte de una de las empresas del grupo, es heredada por Teamsec. Actualmente Teamsec ofrece servicios de seguridad, forenses, investigación digital, servicios de mitigación de riesgos, pentesting, entre otros, a los clientes que quieren disponer de sistemas seguros y/o a clientes que hayan tenido incidentes de privacidad.

En Teamsec nos esforzamos por entender las necesidades cambiantes de nuestros clientes, los riesgos y la necesidad de responder rápidamente a sus amenazas técnicas, análisis de riesgos, cumplimiento y requisitos de análisis de negocio.

Con una respuesta global de primer nivel, ayudamos a nuestros clientes a gestionar los riesgos, analizar datos, y remediar las amenazas persistentes de violaciones en datos y las incidencias técnicas. Teamsec ofrece servicios forenses innovadores a través de una combinación de tecnologías patentadas de recuperación de datos, herramientas forenses comerciales mejoradas y sus consultores expertos y especializados.

Esperamos que os guste.