Un crackejador de passwords: el propi Google

El Google s'ha convertit en una 'solució per a tot' inclús per a 'temes il·legítims' com medi de crackejar passwords, que fins i tot un nen de quatre anyets ho podria fer.

Totes les constrasenyes recolzades en un algorisme hash -com el MD5- , poden ésser crackejades per Google i de manera força senzilla.

Posem un exemple:

Si cerqueu la cadena hash:

20f1aeb7819d7858684c898d1e98c1bb

dins de Google, surten unes pàgines referenciades al propi número, i més avall un nom, una entrada anomenada Anthony que correspon a la contrasenya d'un usuari d'un blog de Wordpress crackejat fa uns dies.

Contra això la lluita és complicar al màxim les contrasenyes amb paraules que no estiguin en cap diccionari.

Peter Cox posa en ridícul a la Polizei

Han passat només 2 dies des del meu últim article en el que parlava de que la policia alemanya manifestava el seu fracàs en desencriptar el codi de Skype, i Peter Cox a través d'un simple PC i un troià ha estat capaç de crackejar tota la infraestructura de veu sobre IP (VoIP). Casualitats de la vida?? Qui sap.

Peter Cox ha presentat en base a aquest mecanisme una eina capaç de monitorar, escoltar i gravar trucades realitzades amb tecnologia VoIP, anomenada SIPtap.

Podem veure un exemple en l'enllaç adjunt en el que recomano punxar en els dies del calendari que estan en blau (es poden sentir les gravacions fetes a les direccions IP corresponents).

A continuació mostro una presentació de video clarificadora de cóm funciona la telefonia VoIP

Obrint portes als "lladres" en les empreses.

Sembla ser que una de les conclusions que crida més l'atenció de l'informe de l'associació ISACA (Information Systems Audit and Control Association) que va enquestar 301 treballadors en empreses de més de 100, és que aquests, prenen més mesures de seguretat als seus ordinadors personals de casa que en els de les seves companyies.

Normalment les vulnerabilitats vénen associades a la instal·lació de software P2P (kazaa, emule, etc. per baixar arxius d'ús propi).

També s'havien violat en alguns casos les polítiques internes de TI, amb coneixement.

Aquestes males praxis entranyen un risc addicional per l'empresa que ha de prendre mesures cautelars i polítiques informatives cap el personal.

Per lluitar contra aquest curiòs fenòmen es coneixen empreses que fomenten la unificació entre els ordinadors particulars i d'empresa, tot fent l'empresa una donació d'un laptop a fons perdut al treballador, que a canvi s'ha de fer responsable de ser tant cuidadós en els seus procediments TI en l'empresa com ho és a casa, donat que l'equip és el mateix.

La policia alemanya no pot desxifrar Skype.

La policia alemanya s'ha donat per vençuda a l'hora de desxifrar el codi criptogràfic del software de comunicacions Skype i que acostuma a ésser utilitzat per les organitzacions criminals i terroristes, segons el cap de la policia Joerg Ziercke.

Em sembla que la foto que adjunto a l'edifici central de la Polizei de Berlin és d'arxiu, per què ara per ara i amb el reconeixement d'aquest fracàs policial, les rialles deuen ser aigua passada.

A mode de presentació per qui no estigui familiaritzat amb Skipe us presento uns slides explicatius de la instal·lació i ús del Skype:

| View | Upload your own

Quanta pasta guanya un ciber delinqüent? Modes habituals.

Està clar que els crackers i/o ciber delinqüents que busquen el seu benefici econòmic, els ha de compensar córrer el risc de ser caçats pels mecanismes legals corresponents.

L'objectiu doncs d'aquest missatge és avaluar quins són aproximadament els seus beneficis mensuals i quines són les seves formes més habituals d'aconseguir-los.

Encara que sembli mentida els beneficis d'aquests ciber delinqüents vénen d'empreses externes que els contracten com spammers. Els seus preus oscil·len entre 20$/hora o 100$/dia i per comanda.

D'aquesta manera, existeix un mercat de spamming que contracta ciber delinqüents. Però cal preguntar-se qui és més il·legal? El contractant o el contractat......?

El cas es que treballant unes 20 hores al mes/comanda i fent a la vegada 20 comandes de spamming -totalment factible- el ciber delinqüent es treu la friolera de 7000 $ al mes de mitjana (tenint en compte que de vegades se'ls contracta per dia).

En cas de ser una mica més ambiciós pot ampliar el seu paquet d'adreces de spam inicials de 5 milions a 15 milions (el cost de l'ampliació només val uns 100 €) i així pot oferir els seus serveis a un preu/hora superior.

Ciber delinqüents encara més ambiciosos es fan amb comptes Paypal i nombres de targes de crèdit.

El grup G DATA Software, ha fet un estudi en el qual ha arribat a la conclusió que els comptes del popular joc multijugador World of Warcraft eren un pou tant de dades (més intensives que les de les tarjes Visa) com de diners aptes per a ser desviats cap els ciber delinqüents.

L'última forma gairebé indetectable -es fa en fòrums molts discrets- és la subasta de virus i troians entre ciber delinqüents, en la qual els preus poden arribar a cents de milers d'euros. Essent aquest mode el més lucratiu sense cap mena de dubte.

Hollywood Films about Hackers

No s'espanteu pel títol, no començaré ara a escriure en anglès sino que com tinc instal·lat el googleanalytics en el blog, m'ha fet il·lusió veure que tinc bastantes entrades des de Los Angeles. Així doncs aquesta entrada va dedicada a la gent que accedeix a aquest bloc des d'allí....encara que segurament són catalans (això és l'únic dolent d'aquests blocs, el seu caràcter intern que no ens permet rebre missatges i feedbacks de l'exterior).

"Is one privilege for me to welcome you in this pages from Los Angeles. This message or input, so-called 'Hollywood Films about Hackers' is addressed and dedicated to you. Thank you very much."

La filmografia sobre els hackers a Hollywood és molt variada, us posaré la meva selecció:

Piratas de Silicon Valley (Pirates from Silicon Valley) (1999), sobre la història de Bill Gates i Steve Jobbs, pares de Microsoft i del Mac. Us adjunto la pel·lícula sencera:



Sneakers (1992) protagonitzada per Robert Redford. Aquí van unes escenes:



Conspiración en la Red (2001) (Antitrust: Cracking the Code)



Revolution OS (2001)




Hackers (1995) amb Angelina Jolie.



Asalto Final (1999) amb Tom Berenger.



La degana Wargames (1983) amb un quasi nen Mathew Brotherick.

Inhibidors de freqüència

Aquest cap de setmana m'ha trucat un company de Madrid que s'acaba de comprar una moto de gran cilindrada.

La passada setmana la va aparcar a prop de l'Audiència Nacional i suposo que devien de muntar algun judici important com acostuma a passar, i un equip dels còssos de seguretat va passar els corresponents inhibidors de freqüència, que fan un escombrat freqüencial i impedeixen la transmissió en un rang d'aquestes freqüències a una certa distància.

Col·lateralment aquests inhibidors, acostumen a bloquejar els dispositius electrònics (no manuals) d'apertura, tancament i arrencada de vehicles, amb la qual cosa el meu amic que duia un dispositiu amb alarma de proximitat a la última, etc. es va quedar penjat i va haver de reclamar una grua com la majoria de vehicles amb similars característiques de la zona. Sembla que aquest fet acostuma a passar a la zona de Plaça de Castilla.

Si aneu a aquella zona, i no teniu clau manual recordeu aparcar una mica lluny.

Tanmateix s'està produïnt un augment dels delictes a través d'aquests dispositius que també estan en el mercat a disposició dels delincuents (el cost de l'inhibidor és de 85.000 €), per tal d'eliminar alarmes de cotxes, alarmes de vivendes, etc.

Un video explicatiu del inhibidor l'adjunto a continuació:

La màquina Enigma dels nazis crackejada en 46 segons

Fa concretament 3 dies s'acaba de finalitzar el cracking del codi criptogràfic de la màquina Enigma dels alemanys a la Segona Guerra Mundial en un temps récord de 46 segons (portàtil de 1,6 Ghz i amb un programa escrit en Ada).

La persona que ha realitzat aquesta proesa és el radioaficionat alemany Joachim Schueth, qui estava inmers en una autèntica carrera amb els britànics per ésser el primer en aconseguir tal fita.

En aquest video podem veure les "interioritats del funcionament" de la màquina Enigma:

Què és el SWATting?

El passat 17 d'octubre un xicot de 19 anys va trucar al servei d'emergències de l'Estat de California, el Servei 911 (equivalent aquí a Catalunya al Servei 112). Va escollir uns noms i adreces obtinguts de manera aleatòria a transferir al Servei d'Emergències.

A conseqüència d'aquest event el Sheriff del Comtat, va enviar d'immediat un equip SWAT (Special Weapon and Tactics Team) en direcció a Lake Forest, a la casa d'una parella amb dos nadons.

Els SWAT vàren maniatar el matrimoni abans de comprovar que tot era una broma, orquestrada per una altra persona que havia saltat les proteccions dels Sistemes d'Emergències.

En els sistemes 911 de moltes agències guvernamentals als EEUU hi ha escletxes similars, a les que hi ha en un ordinador i que són violades pels hackers.

Angela Merkel s'enfronta al govern xinès per culpa dels hackers

Durant la passada visita que Angela Merkel va fer a Xina a l'agost i de manera sorprenent va incomodar el govern xinès pel famossísim assumpte dels hackers xinesos que pertànyen a l'Exèrcit d'Alliberació Popular Xinès que havien aconseguit segons Robert Gates (Secretari de Defensa d'EEUU) el ciber-atac més exitós contra el Pentàgon, i diferents departament guvernamentals britànics.

Tanmateix van introduir un spyware específic xinès al Ministeri d'Economia Alemany en un intent de robar informació econòmica sensible.

L'organització d'un equip de tècnics ben ensinistrats amb unes tasques específiques i no vinculants al país d'origen és l'objectiu de Xina, que pot treure molt rendiment d'aquests tècnics sense estar necessàriament ubicats dins el propi país i poder treballar, p.ex. als EEUU. Estem davant doncs, d'una nova raça de hacker-espia, els objectius del qual són l'obtenció d'informació militar i/o econòmica d'altres països a través de medis digitals.

En el cas que ens ocupa, Xina vol desbancar Alemanya com primer país exportador del món.

Els analistes polítics comencen a veure que aquests gropúsculs de tècnics són més efectius i econòmics que exèrcits de milions d'homes i armament, i s'està parlant que s'estan plantant unes noves bases per un UNA NOVA GUERRA FREDA, ,però serà digital.

A continuació poso a disposició un video multimèdia on s'explica l'abast del ciber-atac al Pentàgon per part de Xina:

Micro Dispositius de Seguretat

Està clar que de manera progressiva en la nostra societat, s'estan imposant paradigmes de simplicitat i comoditat que comporten integració i minimalisme dels dispositius TIC. La seguretat informàtica no és un element que se'n salva d'aquesta tendència social.

L'estratègia de seguretat en l'ordinador ja no és exclusiva de l'instal·lació de software, i comencen ja a aparèixer solucions hardware (no els típics firewalls o solucions topològiques dedicades) anomenades micro dispositius de seguretat.

L'avantatge fonamental d'aquests dispositius és que alliberen el consum dels recursos software per part de l'ordinador, que és en el cas dels sistemes operatius fonamentats en Windows, són una autèntica càrrega.

Altres avantatges de les proteccions hardware enfront les proteccions software són:

• Es tracta d'una protecció externa (amaga la IP de l'exterior).
• Evita les vulnerabilitats del sistema operatiu Windows, per ser una protecció hard.
• Les actualitzacions de seguretat es fan en el firmware del micro dispositiu i no en l'ordinador.

En el cas que ens ocupa observem en la foto un dispositiu USB hardware que presenta les present funcions i barreres de seguretat (el firmware de les quals està dissenyada en Linux, per cert) :

1. Anti Spam
2. Control Parental
3. Seguretat de 8 capes
4. Transparent a Proxies
5. Anti Pishing
6. Client VPN
7. Anti Spyware
8. Prevenció d'Intrusos
9. Detecció d'Intrusos
10. Firewall
11. Política de seguretat adaptativa
12. Agent de seguretat multicapa

El preu d'aquests dispositius ronda els 80€ i són francament una solució força neta i elegant que alliberaria d'una tasca molt ingrata, doncs gairebé a dia d'avui penso que la instal·lació més crítica ara mateix és la del software que assegura la seguretat del sistema, molt més que la del propi sistema operatiu i de l'ofimàtica. Si algú està interessat en aprofundir en el tema, deixo una demo multimèdia relativa al funcionament del producte i característiques principals (perdoneu que estigui en anglès, però és un producte molt novedós).

Altres fabricants estan ja enfocant les seves solucions cap a mercats de dispositius, PDA's, Blackberries, telèfons mòbils, en una autèntica febre de la mini integració hardware de la seguretat.

Aquests dispositius no estan pensats de moment per protegir tota una LAN corporativa, però si per protegir ordinadors personals i laptops de manera individual (confiar tota la seguretat del Server de Correu Corporatiu a un micro dispositiu d'aquests per un Administrador de Seguretat, encara es considera una aventura, però si algú ho intenta i li va bé l'experiència, que m'enviï un correu ;-)).

Cracking de HD-DVD i BlueRay

Em faig eco de notícies que surten a la NET (especialment als fòrums de Doom9.org) que anuncien que s'han descobert les claus que permeten reproduir les pel·lícules des de disc dur. Malgrat això l'algorisme AACS encara no ha caigut, però la còpia i la reproducció ja són possibles.

Sembla que SGAE's a part, hi ha un moviment social important de recolzament a les polítiques de còpia i desencriptació lliure, com si l'accés als continguts fos un dret democràtic en contraposició al dret individual dels autors de fer negoci amb el fruit de les seves hores de feina.

Però no vull fomentar debat en aquest capítol i el que realment m'interessa és que anem a centrar-nos en aquest descobriment i la seva trascendència:

El descobriment d'aquesta clau única evita la necessitat de cercar de manera individual claus associades a pel·lícules; d'un sol cop es poden desbloquejar totes.

Aviat disposarem de fitxers de 20 Gbytes tal i com s'assenyala a Engadget, disponibles en els principals trackers de Bit Torrent.

Molt aviat (se està treballant en això) disposarem d'aquest descobriment en les aplicacions de desencriptació BackupHDDVD i BackupBlueRay.

Sembla que les solucions al conflicte entre grans companyies i usuaris, no són cosa de l'altre món i ja s'han disposat d'experiències en el passat en el cas del DVD. L'abaratiment del suport físic és fonamental i tanmateix no és de rebut que a dia d'avui (novembre 2007) una película de DVD estigui en 15 € com a molt i en Blue-Ray a 30 €.

Experimentem acàs el doble de plaer visualitzant una pel·lícula en Blue-Ray? Si la resposta és que sí, els preus estan ben posicionats, si és que no -i és el que intueix molta gent, la qual cosa no vol dir que tinguem raó- algun moviment haurem d'esperar del mercat i haurem d'estar expectants -particularment jo només m'he comprat 2 pel·lícules en Blue-Ray i vaig fent rotacions amb les pel·lícules de les amistats-, per què a la que ens compréssim un pack de 10 pel·lícules gairebé....ja podem comprar-nos un reproductor Blue-Ray (bé i amb 100 € de plus a treure de la guardiola en forma de tocinet).

Podem concloure que la relació reproductor/format ha restat francament malmesa en contra del format.

Logo d'Engadget en que es reivindica l'abolició del DRM o Digital Rights Management (bàsicament la lluita contra el AACS):

El curiós cas de SOLO

En aquest capítol vull exposar el cas curiós de l'escocès Gary McKinnon, o SOLO en la terminologia hacker.

Un hacker/cracker la motivació del qual era l'apropiació de coneixements per medi de l'entrada en uns sistemes i no pas les motivacions típiques d'un hacker, cracker o phreaker.

McKinnon utilitza les tècniques pròpies d'aquests últims (ja veurem com ho fa) per tal de trobar en moltes institucions nord-americanes (NASA, Departament de Defensa, Força Aèria i Marina) evidències i registres de vida extraterrestre i OVNIS.

A partir del 2001 i durant 2 anys es va introduir en 100 xarxes, 300 ordinadors i va suplantar 1300 comptes d'usuari, des del seu barri de Londres.

A partir de l'any 2002 comença a deixar rastre i fruit de la inseguretat del 11-S, comença una autèntica caça a SOLO.

No perdeu detall d'aquest document d'una entrevista amb la BBC sobre cóm va fer l'atac, per què també explica que va trobar els registres que buscava sobre naus espacials OVNI en forma de cigar recuperades per la NASA.

| View | Upload your own

Vista l'explicació i aparent impunitat i facilitat de l'atac, o SOLO ens menteix o bé estem més exposats del que sembla a qualsevol intrussió a sistemes de defensa i atac sensibles al telecomandament.

Si SOLO és extraditat des d'Anglaterra als EEUU s'enfronta a una pena de 70 anys de presó a acomplir possiblement a Guantànamo i a una multa de 1,75 M$. Actualment SOLO està apel·lant l'ordre d'extradició a la Cambra dels Lords (Data 31/07/2007).

Si penseu que la causa de SOLO es una causa justa us adjunto un enllaç per què us hi apunteu:

Mites de la S.I., Costos i Informe del FBI sobre ciber delictes

A continuació us mostro una presentació on marco els mites principals contra els que hem de lluitar en Seguretat Informàtica i fins quin punt tenen sentit econòmic les mesures de seguretat que hom ha de prendre una vegada sigui víctima d'un atac o hagi de fer un plà de seguretat:

| View | Upload your own

Respecte als informes dels CSI/FBI us adjunto l'enllaç corresponent i una valoració de les principals conclusions, donat que a l'hora de "pujar" l'informe al blog que tinc al disc dur al servei slideshare i que vosaltres us el podeu baixar donant-vos d'alta, slideshare m'ha distorsionat el tamany de les pàgines, fent-les il·legibles per vosaltres.
De manera que sembla que està clar que amb el FBI cap entitat - en aquest cas, slideshare- vol tenir problemes de cap tipus.

O sigui que segurament el Capità America estarà ja rastrejant l'origen d'aquest blog, el seu creador i les seves motivacions :-)

Hackers, Ciberterrorisme i Guerra Electrònica

En un món globalitzat amb una xarxa única Internet, es desenvolupen una sèrie de subdelictes calificats com delictes de terrorisme o ciberterrorisme que cerquen infringir el terror a distància per medi d'ordinadors i sistemes de telecomunicació. El dany a persones i institucions és el destí últim d'aquests delictes de ciberterrorisme. El ciberterrorisme és canalitzat per persones amb coneixements informàtics 'podriem catalogarlos crackers ciberterroristes'.

A continuació presento una opinió del columnista Carlos Jiménez sobre el fenòmen del Ciberterrorisme (si no veieu bé la presentació, amplieu-la clickant sobre l'icona de la part dreta de la mateixa):

| View | Upload your own

Vegem un contingut multimèdia sobre aquest delicte ón es planteja si pot ser més ficció que no pas realitat:




Amb motiu d'una intrusió xinesa als ordinadors del Norad aquest passat mes de Juny del 2007, introdueixo ara el concepte de guerra electrònica:

La guerra electrònica és un nou concepte de guerra en el qual els dos bàndols estan formats per experts en informàtica i telecomunicacions, la motivació dels quals és la destrucció dels sistemes d'atac i defensa del bàndol contrari (hackers, crackers i phreakers).

Els "soldats" d'aquesta particular guerra electrònica són hackers en sentit general.

Durant l'atac a l'Iraq, el propi George W. Bush l'any 2002 va firmà una directiva per a realitzar un ciberatac a gran escala contra la tecnologia iraquí.

Després de començar l'atac, van haver-hi rumors de que Iraq no disposava ja d'Internet gràcies a l'administració Bush. De fet, el que va haver-hi va ser un desbordament de la capacitat de les pàgines iraquís incapaces de soportar tant de tràfic.