Friday, December 27, 2013

Memorias del 2013 y algo más...

Me resisti, pero, aca estoy otra vez posteando, claro, algo que la "Ley de Delitos Informaticos" no impida.

No puedo dejar de referenciar unos comentarios que lei hace unos dias sobre un video de una entrevista que nos hicieron a Cesar Cuadra y a mi durante el segundo LimaHack.  Diablos !  Que ira en esos comentarios !
Entre chilenos ( o pseudo chilenos ) que nos odian (a los peruanos) y peruanos que nos odian por ser peruanos !  (estos ultimos son los peores).

Igual, hasta las idioteces y forma de escribir (pésima ortografía y peor redacción) me hicieron reflexionar sobre varias cosas que paso a comentar.

La gente lee y escucha lo que le da la gana.  Ojo, esto es bien diferente de la interpretación que alguien pueda hacer respecto a una exposición de ideas y lo es porque al hablar de hacking todo es bien absoluto, discreto, si o no, 1 ó 0, por suerte!  Así que si uno dice algo, es una verdad o una mentira.
Recibir un PDF que se llama "infoAES256" y decir que no hay data relevante y que es altamente probable que sea parte de un CSA es un hecho, pero, cuantos saben realmente que es un CSA ? Y eso que existen hace muchos años...

Eso me lleva al problema básico que tenemos en nuestro país : hay gente que sabe de hacking, pero, no son muchos.
Incluso, no puedo dejar de referenciar a un tuit reciente de  (http://pastebin.com/raw.php?i=HdM5SPzc) donde describen como hicieron una penetración a la red y servicios de un ministerio para "leakear" cierta información.  Cuantas personas son ? Dos unicamente ? Cuatro (2 colaboradores más) ? El hecho es que existen y tienen los conocimientos suficientes para hacer lo que hicieron, pero, insisto : no son muchos.

Para mí, esto ocurre por varias taras :

  • El "perfil bajo" que es el escudo a la mediocridad.  Esta vulgar excusa hace que la gente no hable ni escriba porque no son "figurettis" o porque los "tecnicos no hablan mucho".  Falacia!  Si alguien habla o escribe para decirle a los demás que es el mejor hacker del mundo, si es figuretti, pero, sí lo hace para compartir los resultados de su aprendizaje o investigación, lo que esta haciendo es CRECER como persona y profesional y ayudar a CRECER a los demás.  Por ello, el "perfil bajo" solamente es un escudo para aquellos que quieren crear un alito de misterio a su alrededor y solamente saben que nada saben.
  • Hay gente que cree que sabe porque aprendió a usar algunas herramientas de software o porque "hackea" cuentas de personas en redes sociales.  Y en esto caigo en el mismo problema de los taxis parando en cualquier parte o de los micros llenos de gente : no es solamente problema de los conductores, es problema de los pasajeros también !  Sí existen "hackers" como en la calle Wilson, es porque existen clientes que piden sus "servicios" y se genera un "mundo de hackers" que realmente no lo es.   Sí existen "hackers eticos" o "pentesters" que hacen evaluaciones mediocres es porque existen clientes que saben poco o nada respecto al tema y, lo que es peor, no les interesa saber más !  Es por ello que los de  adicionaron "No basta saber Ethical Hacking" porque esta muy venido a menos!
  • Aún existen peruanos que no soportan que hayan otros peruanos que les vaya bien.  Acaso ven a los argentinos o colombianos o ecuatorianos o chilenos "metiendose cabe" entre ellos con el amplio ratio que lo hacen muchos peruanos ?  Aca existe un fulano que se dedica vender "cebo de culebra" a los desconocedores.  Vive de hacer eventos de forensia y hacking en Lima y ahora en provincias y la mayoría son "gratuítos" y cobra por emitir "certificados", de eso vive y se autodenomina "experto".  Siempre en sus "charlas" raja de otros peruanos para posicionarse, ninguno le parece bien e incluso por ahi dijo que se han ido a "importar" hackers a otro país para sus eventos porque acá no hay...Insisto: es lo mismo que los taxis y micros : quien puede querer un certificado por ir a un evento de puras charlas ?  Que nivel de conocimiento puede garantizar con haberse sentado a escuchar parlotear y mostrar fotos a unos individuos ? BTW : por eso ni LimaHack ni PERUHACK dan certificados, son GRATUITOS al 100% y no pretenden ser "cursos de hacking" ni similares, solo despertar conciencia y difundir conocimiento.
  • Los medios de comunicación hacen un aporte absurdo o no aportan al tema.  Con este asunto de la "Ley de Delitos Informáticos", cuántos hackers peruanos fueron invitados a dar opinion respecto al tema ?  Solamente invitaron a abogados y de todos, solo uno mantiene relación con hackers (Erick Iriarte  ). Si, ya se, alguien saldrá a decir "un hacker no se presenta en TV...", "un hacker no se autodenomina", etc (laaaargo etc.)  Ya deberíamos dejarnos de tanta retórica ya que por andar debatiendo el uso de términos perdemos mucho tiempo y eso no le aporta nada a lo que nos interesa : el hacking.  Un delincuente informático no se presentaría ni por TV, radio o prensa escrita, pero, un hacker si.  Antes de escribir este post vi un reportaje de un canal de TV sobre una noticia basada en el reporte de un fabricante de antivirus que indica que en Perú esta la mayor cantidad de hackers de Latino América.  Lo primero que me surge como pregunta es : no se dan cuenta que Perú (más rápido o más lento) es el país con mayor crecimiento económico en la región y eso nos hace CLIENTES deseados ?!  Osea, que mejor forma de venderle a los peruanos que metiéndoles miedo ?  Porque la afirmación de ese fabricante no va por el lado de "bien peruanos! son unos genios!" si no por el lado de "peruanos cuidado! viven en la inseguridad total! nosotros podemos cuidarlos!" Y, luego, el reportaje mete a la gente de DIVINDAT (ya lo se, no les daré más, pero, si debo decir que no estan preparados para este mundo de inseguridad y por ello su opinión casi siempre va a /dev/null) y se ponen a hablar de carders como si no vieran que la mayoria no son peruanos.
El título del post hace referencia a "memorias del 2013" y todo lo anterior parece ser una constante a través del tiempo y si, lo es, y, por ello, también, lo fue en el 2013.  Hay más, pero, como no quiero quedarme criticando unicamente, aca van mis ideas respecto a lo que se debe hacer para terminar con esas taras :
  • Dejemos el "perfil bajo" en el /dev/null.  Cómo ? Cuando vayamos a un evento o una clase, preguntemos a discresión, "sangremos" al expositor o profesor, obliguemoslo a que piense y que si no tiene la respuesta al momento, investigue y difunda la respuesta.  No tengamos vergüenza de preguntar.  Objetemos : sí tenemos otra posición, postura o el expositor/profesor dice una estupidez o comete un error, hay que  decirselo, dejemos de querer ser "nice" todo el tiempo.  Comuniquemonos : usen el Twitter para compartir sus conocimientos, blogueen, organicen reuniones presenciales para conversar sobre hacking, exijan y participen en eventos de hacking, no tengan temor de exponer sus conocimientos porque, mucho o poco, simple o sofisticado, siempre hay alguien que no lo sabe y le servirá.
  • Sí para mejorar el sueldo y el puesto me piden una maestría y no es requisito saber de hacking y de inseguridad, perfecto, a estudiar la maestría, PERO, a leer e investigar mucho de hacking.  No se puede pretender que todos sean hackers, pero, por qué funcionan los ataques a las redes y servicios "protegidos" aún hoy en día ?  Porque quienes administran la seguridad solo saben hacer eso : administrar, gestionar y confian en los vendedores de productos y servicios de seguridad porque se supStop pone que tienen "expertos".  Y si, es cierto, tienen "expertos" en configurar software y gestionar seguridad, pero, no en IN-seguridad o seguridad ofensiva (término muy usado este año, suena bien, créditos a Offensive Security).
  • No tengamos temor en denunciar cuando vemos que un proveedor de seguridad hace mal su trabajo o cuando un "ethical hacker" hace un trabajo miserable y mediocre o cuando una "empresa de prestigio internacional" presente documentos adulterados o cuando un "hacker ético" dicta cursos "oficiales" con material pirateado (contratado por dicha empresa).  Pero, no solo hablemos de lo negativo : este año he visto como Alonso Caballero () ha hecho un excelente trabajo como profesional del hacking ético a través del entrenamiento por diferentes medios y con una excelente calidad.  No menciono a alguien de Open-Sec porque podrán decir que es cherry para lo mio, pido disculpas a la gente de nuestro equipo por no hacerlo.  Felipe Gonzalez es otro profesional que aporta mucho desde el 2009 (que es el año en que lo conocí) ().  Cómo no mencionar a Juan Oliva () que este año anduvo por varios países de Sud América y Europa difundiendo conocimiento y entrenando a un monton de personas en seguridad y hacking de VoIP.
  • Cualquier momento y cualquier foro es bueno para emitir opinión.  Sí los medios de prensa no dan cabida al tema es porque aún dejamos que nos vean como primitivos.  Este año acudí a un evento de ciberseguridad y ciberdefensa en una entidad militar.  Es increíble como pueden venir personas extranjeras y peruanas a hablar tanta cosa básica y comercial como sí fuesemos "primariosos".  Charlas llenas de mensajes de ventas, de "mete-miedo", de figurettis, etc. y una audiencia aburrida, pero, callada "para no hacer roche".  Hay que hablar, no digo pararse a reclamar, pero, si a preguntar cosas reales, a objetar y a usar ese foro como debe ser.  En ese evento se habló de la Ley de Delitos Informáticos y casi nadie pregunto o dió una opinión y tenían a un experto en la materia al frente ! Menos mal que una charla similar en PERUHACK 2013 fue materia de preguntas y debate amplio en la misma sala.
Viendo las cosas de otra perspectiva, este año trajo muchas cosas buenas y malas, como siempre, no ? :
  • Ya no se si creer en las certificaciones o no, lo confieso.  Son tantos los que no las tienen que lejos de ser apreciadas, terminan siendo menospreciadas.  Saque el OSCP solo por demostrarme que podía someterme a ese reto que todos dicen es super dificil y lo hice solo (no en grupo como varios que conozco).  Luego, vino el C(PTC, pero, eso fue por un obsequio de la gente de Mile2.  Además, he visto gente que tiene certificaciones que consiguió por saber estudiar bien y no porque sepan de hacking.  Aún mantengo mi postura : si sabes de hacking, saca al menos una certificación para que demuestres y te demuestres el nivel de conocimiento que tienes ya que te mide en varios aspectos.
  • Relacionado a lo anterior esta el hecho que no sabría como recomendar a alguien que certificación obtener porque la oferta de entrenamiento es cercana al 0x00 y la dichosa  Ley de Delitos Informáticos puede permitir que un juez interprete que el impartir conocimientos sobre como explotar vulnerabilidades sea un delito toda vez que demostrar que no existió dolo deberá pasar por un proceso judicial para sentar jurisprudencia (que otros inviertan en abogados, yo no y menos con un sistema de justicia tan ineficiente y corrupto como el peruano).
  • Sigo insistiendo : el mejor equipo de hackers éticos peruanos esta en Open-Sec.  De hecho, CREO que solo hay 2 o 3 equipos en Perú y somos el más numeroso y con más años de experiencia.  Esto no es "panudearse" es solamente el reconocimiento a llevar más de 7 años dedicados a evaluar la seguridad de una cantidad y tipo de organizaciones de Perú, Ecuador y US que no veo en otros.  Es más, es un reconocimiento que me alcanza apenas un poco en lo personal porque es el trabajo de un grupo de gente que vive todo el día y todos los días cuestionando la seguridad y analizando vectores de ataque para hacer evaluaciones que son pagadas por nuestros clientes y que reciban recomendaciones que de verdad los ayuden a resolver sus problemas de seguridad informática.  Por eso sacamos el eslogan de They run automated tools, We have ETHICAL HACKERS puesto que si fuesemos meros "corredores de herramientas", creanme que estariamos bien jodidos y andariamos haciendo otras cosas más para ganar dinero.
  • Jalando el tema en base a lo anterior, fuimos el único equipo de peruanos que desarollo una herramienta de hacking y tuvimos que parar su desarrollo y sacarla del aire por esa absurda "Ley de Delitos Informáticos".  Desarrollar Tumi fue una experiencia inolvidable porque no era otra tool para "no-pensantes" ni solamente una que haga "information gathering", hacia todos los pasos de un pentesting, era ligera, estaba hecha en Python, era 100% modificable por cualquiera y nos ayudo a demostrarnos a nosotros mismos de lo que eramos capaces.  Acuerdense de Ratatouille y lo que decia el Chef Gusteau : cualquiera puede cocinar.
  • No puedo dejar de mencionar que ninguno de los dos puntos anteriores fue apreciado por dos clientes y un potencial cliente que decidieron optar por otro proveedor para servicios de hacking porque costaban la mitad que nosotros.  Lo que me dejo esto como experiencia es que hay clientes que no saben medir el nivel de servicio que reciben (creanme que hemos hecho una auto-evaluación para buscar nuestras fallas) y eso es falla nuestra por no saber "educar" al cliente.  En el otro caso del potencial cliente, fue de lo más absurdo : se quejaron que el proveedor del año pasado les hizo una pésima evaluación, pero, como nosotros eramos más caros, tomaron al del año pasado.
  • Lo anterior me lleva a comentar que sigo apreciando muchisimo el desarrollo de Ecuador como país, se nota que los cambios de verdad no solo se dan por tener más dinero si no por hacer que la gente cambie y vea las cosas de forma diferente.  Claro, para eso se requiere un líder como Rafael Correa, pero, un líder sin ciudadanos con amor por su país y propósito de enmienda no serviría.  Ecuador es un excelente país!
  • Igual, nuestra base es Perú y en el 2013 crecimos un 30% con respecto al 2012.
  • Este año fue de eventos, participe en el CSI 2013 de Colombia y en Campus Party Quito 2013.  Siempre seguiré elogiando a los ecuatorianos : 1:30 am y la gente seguía participando en el taller de Scripting para Pentesters que estabamos dictando con Camilo y Mauricio.  También, este año me opuse a la forma en que organizaron LimaHack 2013 y decidí que en lugar de solamente criticar, debía hacer algo diferente organizando PERUHACK 2013 (http://peruhack.org).  Con el apoyo de muchas personas (Grover Cordova, Jesús Hernandez, John Vargas, Marcia Sifuentes, Jean del Carpio, Camilo Galdos, Cesar Flores, Miguel Guerra, Renatto Gonzales, Pablo Munar), se consiguió tener un evento muy bueno dirigido a profesionales de la seguridad informática.  De hecho, tuvimos unas charlas excelentes, muy técnicas y un invitado desde España : Lorenzo Martinez ().
  • También, este año leí y escuche de tantas cosas que me parecen pura venta como el "pentesting by design" que es una suerte de mix de automatizado y semi-automatizado, pero, que para mi es otro rollo comercial más como el "cloud computing".
  • Sigo siendo fanático de nmap y sqlmap, será por el "map" ? Yo creo que es porque ambas me permiten modificarlas según lo necesite y con ello pasar por alto las "protecciones".  Antes solía jugar con Metasploit, también, pero, este año apenas hice algo con vbsmem para que funcionen varios CSA.
  • Este año revise varios informes sobre APT para ver que tan ciertos y validos eran.  La verdad, hay demasiadas cosas cuestionables en esos informes que nos presentan a los chinitos como los culpables de todos los ataques y encima como poco inteligentes en estas lides.
  • El 2014 arrancará definiendo vectores de ataque para todos los componentes del sistema de BITCOINS.
  • La publicación de advisories no es algo que hagamos bien, de hecho, encontramos un  0day en un IPS de WatchGuard, pero, dejamos la redacción del advisory para después de terminar el pentest en el que andabamos inmersos y para ese momento, ya no era un 0day.  LENTOS!!
Me he pasado la última semana pensando en qué cosa podría poner en este post que sea 100% técnica, es decir, un script o una técnica, pero, todas estan reñidas con la "Ley".  Finalmente, pense que cualquiera que lea este post caerá en una de dos categorías : el que lee bien (1 ó 0) y el que interpreta las cosas como le da la gana y el hecho que ponga o no ponga algo "técnico" no cambiará ese hecho.

Así que deseo a todos, amigos y enemigos, peruanos y extranjeros, cualquiera que lea este post : que el 2014 sea un año MUY BUENO para Uds.!

Saturday, January 19, 2013

Algunos puntos para los cuales 140 caracteres no son suficientes...Enero 2013

Hay una serie de temas que me tienen hace meses pendiente de escribir y el querido Twitter solo me dejaria escribir a puchitos, asi que aca van, cortos, pero, van :

---> Hackers :

Wow! Parecen conejos! Los hackers se multiplican, sobre todo esos que leen mucho y que saben mucho!
Seguro que alguien dira que yo solo alucino a los de Open-Sec (por años somos el unico equipo de hackers peruanos que solamente nos dedicamos a esto y que nos va muy bien), pero, mas alla de mis "preferencias" por este team, tambien saben que siempre me excluyo de esa elite de verdaderos hackers (tal vez aun arrastro algo de linuxero donde no se aceptan las autocalificaciones y cada que alguien dice que soy hacker, digo : no, solo soy parte de un team de hackers DE VERDAD.
Pero, eso de "leen mucho" es cachoso porque leen mucho por Internet, prueban poco, investigan nada y hasta hacen tutoriales y videos y cuanta vaina puedan hacer para obtener el "reconocimiento popular".
Tambien, eso de "saben mucho" es cachoso porque se afanan tanto en demostrar lo mucho que saben que pierden el sentido basico de cualquiera que este metido en esto : nunca sabras mucho de todo!
Lo que si creo que falta es resaltar a los aficionados y profesionales que si estan haciendo las cosas MUY BIEN sin importar su nivel de conocimientos porque pueden estar iniciando, madurando o perfeccionando.
Tambien, se que alguien pensara, luego de lo que sigue, "claro, es su pata", pero, que diablos! Por que Andres Morales Zamudio no es una mega-estrella del mundo del hacking a nivel internacional si sabe muchisimo mas que varios argolleros que andan pululando por los eventos de hacking en Latino America ?!
Facil respuesta : Andres no se autoproclama genio ni tiene una banda de amigos que lo haga por el, Andres no tuitea frecuentemente, tampoco bloguea re-fritos y menos "crea" toolz refritas ni anda pidiendo que lo inviten a dar charlas a eventos.
Y asi puedo nombrar un buen grupo de gente peruana : Cesar Cuadra, Alfredo García, Mauricio Urizar, Camilo Galdos, Juan Oliva, Hernan Parodi (todos los anteriores son Open-Sec), Fernando Flores, Oscar Martinez, Mauricio Velazco (99.9% still Open-Sec guy), casi todos los que exponen en LimaHack (aunque tambien caen por ahi varios lammers, otros alucinados y otros que se presentan, pero, la charla la hace otro) y seguro me faltan varios nombre, PERO, tambien omito otros varios adrede.
Si, ya se, suena a amargura todo esto, pero, ojo, no es por mi, es porque siempre andamos, los peruanos, alucinando lo que venga de fuera y aunque pasa asi en otros paises (lo vemos cuando nos toca salir de nuestro querido pais), aca es alucinante.

--->Posts re-fritos :

Quieres ser famoso como hacker ? Bloguea re-fritos, osea, esas cosas que ya se publicaron miles de veces, pero, que tu publicitaras como si recien se hicieran, como obras ineditas.
Solamente tomen un momento para buscar en Google textos similares o identicos, no se limiten a buscar en Español, busquen en Ingles y otros idiomas, total, hay traductores everywhere.
Hace poco leia el reclamo de uno de estos "hackers" sobre que otro "hacker" habia publicado cosas suyas sin el debido "reconocimiento", el segundo "hacker" pide disculpas por la omision y a mi me da risa porque he encontrado mas de un texto del primer "hacker" (el ofendido) que son copia fiel de otros posts hechos en Ingles, claro, pone otros screenshots, señal que al menos probo lo que decia el blog original.

--->Hackers certificados :

De hecho que los "balotarios" estan haciendo un buen trabajo, sobre todo en las certificaciones que no actualizan sus bases de datos de preguntas.
Cada vez hay mas gente certificada sin entrenamiento (100% aceptable), pero, sin experiencia previa que determine un nivel de conocimientos como para aprobar un examen de certificacion.
Y ya que la economia peruana es de las mejores, hay dinero para invertir en examenes asi sean caros.
Siento que terminare dando la razon a muchas personas que me decian que el asunto de las certificaciones perderia valor en el tiempo porque lejos de ser un factor de medicion, se convierte en un factor de engaño.
Peor aun cuando hay gente que ya perdio la certificacion y no tienen la honestidad de comunicarlo y aun se presentan como gente certificada.
Por ejemplo, casi nadie sabe que si uno mantiene vigente la certificacion de C|EH, hay un certificado adicional que demuestra dicha vigencia.
Tampoco saben que otros como Mile2 y GIAC mantienen bases de datos publicas donde se puede ver si la certificacion de la persona es vigente o no.


--->Hackeando a los Hackers :

Esta es breve :

1. Debes aprender Linux, no puedes ser hacker usando solo MS Windows, no seas payaso!
2. Debes aprender Ingles, al menos, de lo contrario, como diablos siquiera leeras un readme ?! Menos pensar en modificar la tool o crear una.
3. Debes tener perfil de desarrollador para llegar a un nivel alto, de lo contrario, estaras limitado a ser un buen profesional (osea, hoy haces hacking, mañana instalas un firewall, pasado eres un gerente sin memoria tecnica).
4. Debes leer mucho.
5. Debes investigar mucho.
6. No debes tener horario de oficina.
7. Penetrar no es meterse a un server, es meterse a todos los que puedas incluido el que esta apagado! (medio broma, facil es un server con wake-on-lan).
8. Debes saber mas que tus toolz.
9. Tus toolz son necesarias, aprende a usarlas bien, cuidalas, quieralas, mejoralas, mandalas al asilo cuando creas que ya son viejas (algun dia las podras recoger para darles un paseito).
10. Aceptalo: tendras que trabajar en equipo!

--->Concursos del Estado Peruano :

Estos son mas gracioso cada vez, siempre hacen la lista de Papa Noel, se da el concurso y siempre gana el mas barato.  Teniendo empresas como aquella (viene de otro continente) que se baja los pantalones a cada rato, es facil conseguir servicios baratos.
Solo conozco una entidad donde hay una persona que sabe mucho y una vez que dije algo asi, se molesto porque me dijo que me iba directamente contra el (esa empresita acababa de ganar un concurso en su entidad).  Pero, la cosa es que los tecnico no deciden, aceptenlo!
Ayer y hoy me llaman 2 personas por un concurso en una entidad del Estado donde no quieren que gane el unico postor que se presento.  Como  ?!  Son conscientes de unos antecedentes negativos de dicho postor, pero, nunca se animaron a divulgarlo por ser "polites", por no ser parte de un chisme o porque la hipocresia gana al peruano y siempre quiere ser nice.
Ahora, corren a pedir ayuda para impedir que le den la buena pro a ese postor, que buena vaina!
Leo las bases, no veo el nombre del postor, "miro mas alla de lo evidente" y zas! salen sus siglas, URL, talla del brasiere, talla de correa, etc.  Y ahora no quieren que gane ?! No pues! Dejenlo que gane y exijanle que haga el servicio como debe ser!

--->Algo técnico para no quedar sin demostrar :

No es perfecto, pero, me sirve siempre :

#!/bin/bash
#Uso : xtracthosts.sh dominio wget|directorio archivo_urls
#dominio como acme.com (sin nombre de host ni cname)
#la palabra wget o el nombre del directorio de una descarga previa
#archivo de texto con urls como http://www.acme.com y https://www.acme.com
#Si, en mi desorden, publique primero una version que no es la ultima
if [ $2 = "wget" ]; then
    wget -r --no-check-certificate -i $3
fi
if [ $2 != "wget" ]; then
    cd $2
else
    cd www.$1
fi
url="http|https://*.$1"
grep -R -E "$url" * | cut -d "/" -f 4 | cut -d '"' -f 1 | grep $1 | cut -d "'" -f 1 | sort -u > ../hosts-$1.txt
cat ../hosts-$1.txt
cd ..