Darknet: Facebook venderá más información privada comprando WhatsApp.

Cuantas veces has buscado cosas en google y has visto que no están indexadas? Buscan en otros

buscadores menos populares y en la cuarta o quinta página aparece el contenido?
Back to basics, Internet ya no es "la red de redes" que muchos de nosotros ayudamos a construir. 
La respuesta es clara, NO.
En España, pecamos de cómodos y conformistas, y nos estamos creyendo que lo que vemos es lo que hay, cuando lo que no vemos es lo que realmente ha construido lo que hay.
La noticia de la compra de Whatsapp por parte de Facebook, desde luego es otro ladrillo en el muro (another brick on the wall). En el muro entre los estados, organizaciones y los ciudadanos. Es otro paso en la venta de la información privada, hábitos, tendencias, esperanzas, orientación sexual, políticas y credos. 

Es todo aquello que la red creada por y para el pueblo, no debería permitir ni ser usada. Y esto es solo el principio. 
Así que os dejo unas cuantas herramientas para no dejar rastro, para ver sin ser vistos y para encontrar aquello que no quieren que sea encontrado.
-Telegram. Bajate esta App, es como whatsapp, cifrada y en principio sin vender tus datos.
-Tor project (Onion project) como navegador en capas, para navegar sin dejar trazas.
-Safe-mail, correo anónimo cifrado. No comercia con tus datos.

Banda sonora de este post. Pink Floyd. Another brick in the wall.

hth
Robclav

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

OT:China hacker's CyberWarfare, y tipos de hackers en China

Empieza a salir a la luz, lo que todos nosotros sabemos hace tiempo. Los gobiernos de China y Rusia están detrás de la mayoría de ataques en la red.

¿Puede ser interpretado como una declaración de guerra? Pues espero que no, porque me encantan los rollitos de primavera y el wan tun frito. Así que, mejor lo dejamos en incidente grave con "estudiantes" muy coordinados tal y como afirma el gobierno Chino...Pero ¿no serán hackers de sombrero rojo o "Patriotas"?

No obstante,  la parte interesante es el procedimiento que están utilizando para acceder a los objetivos, expuesto en el gráfico anterior. Los ataques explotar un vector de ataque muy extendido, la Capa 8 de nuestra infraestructura o los usuarios.

Por otra parte, dentro de China tienen toda una variedad de nomenclaturas en función, del comportamiento de los hackers.

color-coding-chinas-hackers/

How people differentiate between the many types of hackers roaming the Internet in China.

"Black" hackers (黑客) are computer experts who use their skills to identify loopholes in networks for people to fix. They do not attack to steal data or cause lasting damage, but to construct a better system by exposing flaws.

"Gray" hackers (灰客), on the other hand, are those who do actively attack and invade. They act with malicious intent to infiltrate networks, steal information, and crack government websites for destructive purposes.

(It is interesting to note the difference between Chinese terms and what's used elsewhere, where a "black hat" hacker would be known as a "gray" hacker in China - and a "black" hacker in China is similar to a "white hat" hacker.)

"Red" hackers (红客), or "Honkers," refer to those who use their computer savvy for patriotic purposes. Their goal is to strengthen and defend domestic network safety, or attack anyone they view as China’s enemy. They first emerged in May 1999 after NATO bombs fell on the Chinese embassy in Belgrade. In response, the group declared war on several U.S. government websites.

Finally, there are "white" hackers (白客). They are the hackers who no longer hack. Instead, they usually pursue a legitimate career in computer safety or consulting, putting their skills to use for corporate benefit.

Cyberwarfare, Counter-hacking appliance de Mykonos Software

¿Cuántos de nosotros nos hemos encontrado con una infraestructura bajo ataque? ¿Y cuales son nuestras herramientas actuales?

Bien, una vez nos encontramos con un cliente con problemas de denegación de servicios o con un ataque deliberado de forma inteligente contra sus recursos, ¿que solemos hacer? Mitigación del problema o activar contramedidas de medio pelo.


1.-Activar restricciones en las conexiones nuevas (TCP Syn), inicialmente para todos los usuarios.
2.-Detectar las redes origen, y a poder ser las regiones parar incluirlas en una lista negra.
3.-Activar, las firmas IPS de los sistemas intermedios y activar el registro de los servicios atacados.
3.-Avisar a la operadora, para que a su vez, limite ese tráfico.


Pero todo esto, al final es como recibir una bofetada en la cara y apretar los dientes. 

Existe un producto de Mykonos Software que, es el primero que empieza a recorrer el camino de la autodefensa en al red. Es un appliance que permite, reconocer los atacantes y sus métodos y en principio, defenderte activamente. No obstante, en los siguientes días espero conocer algo más que el datasheet. http://www.mykonossoftware.com/appliance.php

Sin disponer de este appliance, existen servicios de emergencia de respuesta temprana que pueden realizar estas tareas por ti. ¿Pero en que se fundamentan estos servicios?

En las leyes que nos rigen, si eres atacado puedes defenderte. Es el mismo concepto de autodefensa que se utiliza habitualmente fuera de internet.
Bien, pues actualmente se están desarrollado diferentes plataformas que permiten exactamente eso. Defender tu infraestructura de forma activa, o dicho de otra manera. Atacar a las redes o equipos que te atacan, pero previamente se tienes que poder demostrar que tu has avisado a los administradores de la infraestructura de tu defensa con un correo o notificando el ataque mediante tu CERT.


Esta defensa puede pasar, por principalmente inyectar cambios es sus DNS de forma que la mayoría de ordenadores zombies, controlados remotamente, ataquen al atacante. También para que el atacante, pierda el control sobre los zombies o para simplemente, ambas cosas.
Otra acción, es inundar la red de la operadora que permite ese tráfico con tráfico simulado. De forma que por sus propias políticas de QoS, al llegar al máximo permitido de conexiones o ancho de banda corte el ataque.


Y como última opción, automatizar el proceso de detección y explotación de vulnerabilidades y hacer caer sus sistemas.


Seguro que las empresas, que tienen todos sus activos en la red, empiezan armando sus defensores con herramientas de defensa activa, como la que os comentaba.
HTH,
Robclav