Friday, December 27, 2013

Memorias del 2013 y algo más...

Me resisti, pero, aca estoy otra vez posteando, claro, algo que la "Ley de Delitos Informaticos" no impida.

No puedo dejar de referenciar unos comentarios que lei hace unos dias sobre un video de una entrevista que nos hicieron a Cesar Cuadra y a mi durante el segundo LimaHack.  Diablos !  Que ira en esos comentarios !
Entre chilenos ( o pseudo chilenos ) que nos odian (a los peruanos) y peruanos que nos odian por ser peruanos !  (estos ultimos son los peores).

Igual, hasta las idioteces y forma de escribir (pésima ortografía y peor redacción) me hicieron reflexionar sobre varias cosas que paso a comentar.

La gente lee y escucha lo que le da la gana.  Ojo, esto es bien diferente de la interpretación que alguien pueda hacer respecto a una exposición de ideas y lo es porque al hablar de hacking todo es bien absoluto, discreto, si o no, 1 ó 0, por suerte!  Así que si uno dice algo, es una verdad o una mentira.
Recibir un PDF que se llama "infoAES256" y decir que no hay data relevante y que es altamente probable que sea parte de un CSA es un hecho, pero, cuantos saben realmente que es un CSA ? Y eso que existen hace muchos años...

Eso me lleva al problema básico que tenemos en nuestro país : hay gente que sabe de hacking, pero, no son muchos.
Incluso, no puedo dejar de referenciar a un tuit reciente de  (http://pastebin.com/raw.php?i=HdM5SPzc) donde describen como hicieron una penetración a la red y servicios de un ministerio para "leakear" cierta información.  Cuantas personas son ? Dos unicamente ? Cuatro (2 colaboradores más) ? El hecho es que existen y tienen los conocimientos suficientes para hacer lo que hicieron, pero, insisto : no son muchos.

Para mí, esto ocurre por varias taras :

  • El "perfil bajo" que es el escudo a la mediocridad.  Esta vulgar excusa hace que la gente no hable ni escriba porque no son "figurettis" o porque los "tecnicos no hablan mucho".  Falacia!  Si alguien habla o escribe para decirle a los demás que es el mejor hacker del mundo, si es figuretti, pero, sí lo hace para compartir los resultados de su aprendizaje o investigación, lo que esta haciendo es CRECER como persona y profesional y ayudar a CRECER a los demás.  Por ello, el "perfil bajo" solamente es un escudo para aquellos que quieren crear un alito de misterio a su alrededor y solamente saben que nada saben.
  • Hay gente que cree que sabe porque aprendió a usar algunas herramientas de software o porque "hackea" cuentas de personas en redes sociales.  Y en esto caigo en el mismo problema de los taxis parando en cualquier parte o de los micros llenos de gente : no es solamente problema de los conductores, es problema de los pasajeros también !  Sí existen "hackers" como en la calle Wilson, es porque existen clientes que piden sus "servicios" y se genera un "mundo de hackers" que realmente no lo es.   Sí existen "hackers eticos" o "pentesters" que hacen evaluaciones mediocres es porque existen clientes que saben poco o nada respecto al tema y, lo que es peor, no les interesa saber más !  Es por ello que los de  adicionaron "No basta saber Ethical Hacking" porque esta muy venido a menos!
  • Aún existen peruanos que no soportan que hayan otros peruanos que les vaya bien.  Acaso ven a los argentinos o colombianos o ecuatorianos o chilenos "metiendose cabe" entre ellos con el amplio ratio que lo hacen muchos peruanos ?  Aca existe un fulano que se dedica vender "cebo de culebra" a los desconocedores.  Vive de hacer eventos de forensia y hacking en Lima y ahora en provincias y la mayoría son "gratuítos" y cobra por emitir "certificados", de eso vive y se autodenomina "experto".  Siempre en sus "charlas" raja de otros peruanos para posicionarse, ninguno le parece bien e incluso por ahi dijo que se han ido a "importar" hackers a otro país para sus eventos porque acá no hay...Insisto: es lo mismo que los taxis y micros : quien puede querer un certificado por ir a un evento de puras charlas ?  Que nivel de conocimiento puede garantizar con haberse sentado a escuchar parlotear y mostrar fotos a unos individuos ? BTW : por eso ni LimaHack ni PERUHACK dan certificados, son GRATUITOS al 100% y no pretenden ser "cursos de hacking" ni similares, solo despertar conciencia y difundir conocimiento.
  • Los medios de comunicación hacen un aporte absurdo o no aportan al tema.  Con este asunto de la "Ley de Delitos Informáticos", cuántos hackers peruanos fueron invitados a dar opinion respecto al tema ?  Solamente invitaron a abogados y de todos, solo uno mantiene relación con hackers (Erick Iriarte  ). Si, ya se, alguien saldrá a decir "un hacker no se presenta en TV...", "un hacker no se autodenomina", etc (laaaargo etc.)  Ya deberíamos dejarnos de tanta retórica ya que por andar debatiendo el uso de términos perdemos mucho tiempo y eso no le aporta nada a lo que nos interesa : el hacking.  Un delincuente informático no se presentaría ni por TV, radio o prensa escrita, pero, un hacker si.  Antes de escribir este post vi un reportaje de un canal de TV sobre una noticia basada en el reporte de un fabricante de antivirus que indica que en Perú esta la mayor cantidad de hackers de Latino América.  Lo primero que me surge como pregunta es : no se dan cuenta que Perú (más rápido o más lento) es el país con mayor crecimiento económico en la región y eso nos hace CLIENTES deseados ?!  Osea, que mejor forma de venderle a los peruanos que metiéndoles miedo ?  Porque la afirmación de ese fabricante no va por el lado de "bien peruanos! son unos genios!" si no por el lado de "peruanos cuidado! viven en la inseguridad total! nosotros podemos cuidarlos!" Y, luego, el reportaje mete a la gente de DIVINDAT (ya lo se, no les daré más, pero, si debo decir que no estan preparados para este mundo de inseguridad y por ello su opinión casi siempre va a /dev/null) y se ponen a hablar de carders como si no vieran que la mayoria no son peruanos.
El título del post hace referencia a "memorias del 2013" y todo lo anterior parece ser una constante a través del tiempo y si, lo es, y, por ello, también, lo fue en el 2013.  Hay más, pero, como no quiero quedarme criticando unicamente, aca van mis ideas respecto a lo que se debe hacer para terminar con esas taras :
  • Dejemos el "perfil bajo" en el /dev/null.  Cómo ? Cuando vayamos a un evento o una clase, preguntemos a discresión, "sangremos" al expositor o profesor, obliguemoslo a que piense y que si no tiene la respuesta al momento, investigue y difunda la respuesta.  No tengamos vergüenza de preguntar.  Objetemos : sí tenemos otra posición, postura o el expositor/profesor dice una estupidez o comete un error, hay que  decirselo, dejemos de querer ser "nice" todo el tiempo.  Comuniquemonos : usen el Twitter para compartir sus conocimientos, blogueen, organicen reuniones presenciales para conversar sobre hacking, exijan y participen en eventos de hacking, no tengan temor de exponer sus conocimientos porque, mucho o poco, simple o sofisticado, siempre hay alguien que no lo sabe y le servirá.
  • Sí para mejorar el sueldo y el puesto me piden una maestría y no es requisito saber de hacking y de inseguridad, perfecto, a estudiar la maestría, PERO, a leer e investigar mucho de hacking.  No se puede pretender que todos sean hackers, pero, por qué funcionan los ataques a las redes y servicios "protegidos" aún hoy en día ?  Porque quienes administran la seguridad solo saben hacer eso : administrar, gestionar y confian en los vendedores de productos y servicios de seguridad porque se supStop pone que tienen "expertos".  Y si, es cierto, tienen "expertos" en configurar software y gestionar seguridad, pero, no en IN-seguridad o seguridad ofensiva (término muy usado este año, suena bien, créditos a Offensive Security).
  • No tengamos temor en denunciar cuando vemos que un proveedor de seguridad hace mal su trabajo o cuando un "ethical hacker" hace un trabajo miserable y mediocre o cuando una "empresa de prestigio internacional" presente documentos adulterados o cuando un "hacker ético" dicta cursos "oficiales" con material pirateado (contratado por dicha empresa).  Pero, no solo hablemos de lo negativo : este año he visto como Alonso Caballero () ha hecho un excelente trabajo como profesional del hacking ético a través del entrenamiento por diferentes medios y con una excelente calidad.  No menciono a alguien de Open-Sec porque podrán decir que es cherry para lo mio, pido disculpas a la gente de nuestro equipo por no hacerlo.  Felipe Gonzalez es otro profesional que aporta mucho desde el 2009 (que es el año en que lo conocí) ().  Cómo no mencionar a Juan Oliva () que este año anduvo por varios países de Sud América y Europa difundiendo conocimiento y entrenando a un monton de personas en seguridad y hacking de VoIP.
  • Cualquier momento y cualquier foro es bueno para emitir opinión.  Sí los medios de prensa no dan cabida al tema es porque aún dejamos que nos vean como primitivos.  Este año acudí a un evento de ciberseguridad y ciberdefensa en una entidad militar.  Es increíble como pueden venir personas extranjeras y peruanas a hablar tanta cosa básica y comercial como sí fuesemos "primariosos".  Charlas llenas de mensajes de ventas, de "mete-miedo", de figurettis, etc. y una audiencia aburrida, pero, callada "para no hacer roche".  Hay que hablar, no digo pararse a reclamar, pero, si a preguntar cosas reales, a objetar y a usar ese foro como debe ser.  En ese evento se habló de la Ley de Delitos Informáticos y casi nadie pregunto o dió una opinión y tenían a un experto en la materia al frente ! Menos mal que una charla similar en PERUHACK 2013 fue materia de preguntas y debate amplio en la misma sala.
Viendo las cosas de otra perspectiva, este año trajo muchas cosas buenas y malas, como siempre, no ? :
  • Ya no se si creer en las certificaciones o no, lo confieso.  Son tantos los que no las tienen que lejos de ser apreciadas, terminan siendo menospreciadas.  Saque el OSCP solo por demostrarme que podía someterme a ese reto que todos dicen es super dificil y lo hice solo (no en grupo como varios que conozco).  Luego, vino el C(PTC, pero, eso fue por un obsequio de la gente de Mile2.  Además, he visto gente que tiene certificaciones que consiguió por saber estudiar bien y no porque sepan de hacking.  Aún mantengo mi postura : si sabes de hacking, saca al menos una certificación para que demuestres y te demuestres el nivel de conocimiento que tienes ya que te mide en varios aspectos.
  • Relacionado a lo anterior esta el hecho que no sabría como recomendar a alguien que certificación obtener porque la oferta de entrenamiento es cercana al 0x00 y la dichosa  Ley de Delitos Informáticos puede permitir que un juez interprete que el impartir conocimientos sobre como explotar vulnerabilidades sea un delito toda vez que demostrar que no existió dolo deberá pasar por un proceso judicial para sentar jurisprudencia (que otros inviertan en abogados, yo no y menos con un sistema de justicia tan ineficiente y corrupto como el peruano).
  • Sigo insistiendo : el mejor equipo de hackers éticos peruanos esta en Open-Sec.  De hecho, CREO que solo hay 2 o 3 equipos en Perú y somos el más numeroso y con más años de experiencia.  Esto no es "panudearse" es solamente el reconocimiento a llevar más de 7 años dedicados a evaluar la seguridad de una cantidad y tipo de organizaciones de Perú, Ecuador y US que no veo en otros.  Es más, es un reconocimiento que me alcanza apenas un poco en lo personal porque es el trabajo de un grupo de gente que vive todo el día y todos los días cuestionando la seguridad y analizando vectores de ataque para hacer evaluaciones que son pagadas por nuestros clientes y que reciban recomendaciones que de verdad los ayuden a resolver sus problemas de seguridad informática.  Por eso sacamos el eslogan de They run automated tools, We have ETHICAL HACKERS puesto que si fuesemos meros "corredores de herramientas", creanme que estariamos bien jodidos y andariamos haciendo otras cosas más para ganar dinero.
  • Jalando el tema en base a lo anterior, fuimos el único equipo de peruanos que desarollo una herramienta de hacking y tuvimos que parar su desarrollo y sacarla del aire por esa absurda "Ley de Delitos Informáticos".  Desarrollar Tumi fue una experiencia inolvidable porque no era otra tool para "no-pensantes" ni solamente una que haga "information gathering", hacia todos los pasos de un pentesting, era ligera, estaba hecha en Python, era 100% modificable por cualquiera y nos ayudo a demostrarnos a nosotros mismos de lo que eramos capaces.  Acuerdense de Ratatouille y lo que decia el Chef Gusteau : cualquiera puede cocinar.
  • No puedo dejar de mencionar que ninguno de los dos puntos anteriores fue apreciado por dos clientes y un potencial cliente que decidieron optar por otro proveedor para servicios de hacking porque costaban la mitad que nosotros.  Lo que me dejo esto como experiencia es que hay clientes que no saben medir el nivel de servicio que reciben (creanme que hemos hecho una auto-evaluación para buscar nuestras fallas) y eso es falla nuestra por no saber "educar" al cliente.  En el otro caso del potencial cliente, fue de lo más absurdo : se quejaron que el proveedor del año pasado les hizo una pésima evaluación, pero, como nosotros eramos más caros, tomaron al del año pasado.
  • Lo anterior me lleva a comentar que sigo apreciando muchisimo el desarrollo de Ecuador como país, se nota que los cambios de verdad no solo se dan por tener más dinero si no por hacer que la gente cambie y vea las cosas de forma diferente.  Claro, para eso se requiere un líder como Rafael Correa, pero, un líder sin ciudadanos con amor por su país y propósito de enmienda no serviría.  Ecuador es un excelente país!
  • Igual, nuestra base es Perú y en el 2013 crecimos un 30% con respecto al 2012.
  • Este año fue de eventos, participe en el CSI 2013 de Colombia y en Campus Party Quito 2013.  Siempre seguiré elogiando a los ecuatorianos : 1:30 am y la gente seguía participando en el taller de Scripting para Pentesters que estabamos dictando con Camilo y Mauricio.  También, este año me opuse a la forma en que organizaron LimaHack 2013 y decidí que en lugar de solamente criticar, debía hacer algo diferente organizando PERUHACK 2013 (http://peruhack.org).  Con el apoyo de muchas personas (Grover Cordova, Jesús Hernandez, John Vargas, Marcia Sifuentes, Jean del Carpio, Camilo Galdos, Cesar Flores, Miguel Guerra, Renatto Gonzales, Pablo Munar), se consiguió tener un evento muy bueno dirigido a profesionales de la seguridad informática.  De hecho, tuvimos unas charlas excelentes, muy técnicas y un invitado desde España : Lorenzo Martinez ().
  • También, este año leí y escuche de tantas cosas que me parecen pura venta como el "pentesting by design" que es una suerte de mix de automatizado y semi-automatizado, pero, que para mi es otro rollo comercial más como el "cloud computing".
  • Sigo siendo fanático de nmap y sqlmap, será por el "map" ? Yo creo que es porque ambas me permiten modificarlas según lo necesite y con ello pasar por alto las "protecciones".  Antes solía jugar con Metasploit, también, pero, este año apenas hice algo con vbsmem para que funcionen varios CSA.
  • Este año revise varios informes sobre APT para ver que tan ciertos y validos eran.  La verdad, hay demasiadas cosas cuestionables en esos informes que nos presentan a los chinitos como los culpables de todos los ataques y encima como poco inteligentes en estas lides.
  • El 2014 arrancará definiendo vectores de ataque para todos los componentes del sistema de BITCOINS.
  • La publicación de advisories no es algo que hagamos bien, de hecho, encontramos un  0day en un IPS de WatchGuard, pero, dejamos la redacción del advisory para después de terminar el pentest en el que andabamos inmersos y para ese momento, ya no era un 0day.  LENTOS!!
Me he pasado la última semana pensando en qué cosa podría poner en este post que sea 100% técnica, es decir, un script o una técnica, pero, todas estan reñidas con la "Ley".  Finalmente, pense que cualquiera que lea este post caerá en una de dos categorías : el que lee bien (1 ó 0) y el que interpreta las cosas como le da la gana y el hecho que ponga o no ponga algo "técnico" no cambiará ese hecho.

Así que deseo a todos, amigos y enemigos, peruanos y extranjeros, cualquiera que lea este post : que el 2014 sea un año MUY BUENO para Uds.!