Hace un tiempo el hackeo a Matt Homan fue tan fuerte y tan público que Amazon y Apple cambiaron sus políticas de seguridad claro que no todos tenemos el peso de Wired para influir en las empresas pero esta bueno cada tanto hacer un reality-check sobre nuestra actitud frente a la seguridad y lo digo aún cuando tuve que reconstruir este blog desde cero.
Seguridad
Según Gartner se gastan u$s 60.000 millones anuales en infraestructura de seguridad; sin embargo a Coca Cola lo hackearon y le frenaron un acuerdo de adquisición de u$s 2.400 millones sobre China Huiyuan Juice Group.
El jefe del MI5 Jonathan Evans dijo que una sola empresa Británica perdió casi u$s 1.300 millones por tener condiciones contractuales malas gracias a información que le robaron en hacks corporativos.
Hacía falta que le hackearan la cuenta a una persona que pudiera publicarlo en Wired y en su blog y lograr que hasta empresas de seguridad analizaran como pudieron borrarle toda su vida digital en una hora para que Amazon y Apple, dos pesos pesado del comercio electrónico, decidieran cambiar sus políticas de seguridad... y aunque personalmente crea que el error de Apple es enorme la realidad es que esto muestra que hacen falta estándares de seguridad a nivel global.
Excelente nota en ProPublica: How a Lone Grad Student Scooped the Government and What It Means for Your Online Privacy en la que se explica claramente porque un estudiante pudo descubrir que Google violaba leyes de privacidad en USA y la FTC con todo su prespuesto no pudo pero terminó usando esos datos para aplicarle una multa de u$s10 millones.
Hace un tiempo tuve un problema de seguridad de datos en mi blog casi perdiendo todo, como siempre las ideas de backup aparecen después pero al menos ahora estoy probando Vaultpress el sistema de protección y backup creado por Automattic y que está montado en la nube que sostiene a WordPress.com
Y así como este screenshot muestra el primer backup del blog, lo interesante es que el servicio están tan pensado para esta plataforma que entiende la lógica de las instalaciones y protege la base de datos, los contenidos, las opciones, las customizaciones y todos los temas o plugins que tengas en tu blog... de esta forma el "volver a la vida" que me llevó días, te lleva minutos.Leer completa
Sigo sosteniendo que Stuxnet es una de las peores cosas que le pasó a Internet desde su creación, que existen herramientas de ciberguerra lo sabemos, que existen ataques ocultos lo sabemos, que existen hacks remotos lo sabemos, pero que se libere un virus en Internet y que se reconozca que fué creado por dos gobiernos para desactivar planes de un tercero es, en palabras de la Presidencia de USA, un acto hostil y como tal es imposible saber si la temporada de caza la abrió Bush y su administración de impresentables al "perder control" de Stuxnet.
Ironías de la vida el jueves escribía LinkedIn, Last.fm, MD5 ¿algún otro problema de seguridad esta semana? y menos de 12 horas después hubo un borrado completo del disco principal de mi server, de mi disco de backup no remoto y hasta un borrado del OS algo que, desde un tarjeta Dell DRAC no es imposible de hacer pero implica o bastante conocimiento o una falla de seguridad más grave.
Dejando de lado el hecho de que luego de insultar a medio mundo, especialmente a mi por no tener un tercer backup remoto, decidí tomármelo con cierta tranquilidad pese a saber que si no encontraba datos iba a perder los casi 11 años de este blog... debo reconocer que ya esto de nuevo online con un par de detalles menores.
mea culpa, mea culpa, mea máxima culpa
Sin dar vueltas, la culpa de la demora en volver a estar online no es de nadie más que mía. Tener un backup no-remoto como la forma de recuperar información es simplemente tonto, no haber previsto que alguien podía hacer eso también; pero la realidad es que 11 años de blog implica varios GB de información en forma de archivos, imágenes, temas del blog y hasta texto.
El mundo digital es seguro. Bueno en apenas una semana las siguientes noticias fueron públicas:
- - Hackers exponen 6.5 millones de claves de LinkedIn (LINK)
- - El creador del algoritmo MD5 lo declaró “fuera de servicio” y que “no se lo puede considerar seguro” (LINK)
- - Last.fm está investigando una potencial brecha de seguridad y pérdida de claves de usuarios (LINK)
- - eHarmony confirmó que 1.5 millones de las claves de sus usuarios se hicieron públicas (LINK)
¿En serio falta algo más esta semana? Mientras tanto mi Google Authenticator y mi LastPass me están dejando dormir relativamente tranquilo… pero no mucho :S
Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.
Hace más de un año hablé de la Estrategia Internacional para el Ciberespacio de USA y como USA ya anunciaba que podía considerar un “acto de guerra, actos hostiles conducidos en el ciberespacio” que en la práctica implica el derecho a aplicar doctrina de guerra a hechos digitales… “me hackeás y te bombardeo”
¿La realidad? es que mientras todos hablaban de las sospechas de la creación de Stuxnet como herramienta de ciberguerra para frenar el plan nuclear de Irán nadie tenía pruebas firmes de eso, todo cambió hace un par de días cuando el New York Times publicó Obama Order Sped Up Wave of Cyberattacks Against Iran (link que les recomiendo ampliamente) y apareció la primer no-negación a lo que se sabía: Stuxnet fue creado por USA, modificado por Israel sin que USA lo sepa y finalmente terminó haciendose público por culpa de un pendrive.
¿Que Stuxnet es una noticia vieja? Claro que si, ya hay variantes que no necesitan siquiera desplegarse con un pendrive y hasta hay variantes que se automodifican en base a instrucciones del hardware que quieren “detener” o “frenar” pero hay algo que es más que grave y que ArsTechnica pone en el tapete: la admisión de la creación y existencia de Stuxnet por parte de USA e Israel abre la puerta oficialmente a represalias de terceros
¿El problema? El enemigo en una ciberguerra no necesita tener bunkers gigantescos como Osama ni necesita tener desfiles como Kim Jong-un o un ejercito “gigante” como Saddam y ese es el peor problema que van a tener que enfrentar al dejar algo así flotando en Internet.
Mientras tanto la noticia del New York Times hizo que John Kerry ponga en duda la decisión del diario de publicarla porque “no sirve a los intereses del pueblo” frase que cualquier político de tercer categoría usaría para decir que los medios son malos en vez de reconocer que deberían haber controlado mejor el programa de Ciberguerras.
Afortunadamente NO estarás obligado por ley a tener clave en tu red WIFI.. así de ridículo como suena es el resumen de lo que una corte de Finlandia tuvo que decidir esta semana luego de que una organización de derechos de propiedad intelectual quiso juzgar a una persona por una descarga hecha en su red WIFI que no tenía clave.
Un poco más explicado este descalabro, una organización de control de derechos llevó a juicio a una persona por una descarga de obras con copyright hechas desde su IP, la persona demostró que vive al lado de un espacio público donde se hace teatro de verano y que cientos de personas acceden a su hotspot, como las organizaciones no pudieron encontrar pruebas de que la descarga se hubiera hecho en una de las máquinas de esta persona, quisieron pedirle a la corte que dictamine que hubo responsabilidad por no tener su red wifi protegida con una contraseña con lo que finalmente… la corte tuvo que decidir que eso no era un crimen y de esta manera evitaron sentar un precedente tan peligroso como idiota.
¿Se imaginan si un juzgado que no entendiera de tecnología hubiera aceptado ese planteo y hubiera dicho que había responsabilidad por tener un hotspot abierto? ¿se imaginan al resto de las organizaciones agrupadas en la IFPI y el resto persiguiendo a todo aquel que tiene un router a ver si está protegido o no? ¿que seguía? ¿la obligación de tener una contraseña segura?
Esto me hace acordar al caso de Nokia y el FBI persiguiendo a los Warchalker por colgarse a redes sin protección… y hay veces que me doy cuenta que los intentos de estas organizaciones para encontrar donde atacar puntos débiles del sistema (sin importar lo ridículo que sean) son sistemáticos como los de los Velociraptors carroñeros de Jurassic Park que probaban las redes de seguridad… oh wait, ¿cuanta similitud no? :P
Hace una semana se conoció la noticia de que había una botnet con 600.000 Macs infectadas en el mundo la noticia de que Apple pidio formalmente a Reggi.ru que un dominio de la empresa de seguridad que descubrió como usar el agujero de seguridad es… o ridícula por querer cerrar un dominio de investigadores o tonta, por no entender como funciona un Sinkhole
Para explicarlo simple, hay potencialmente 600.000 computadoras Apple que pueden ser controladas remotamente por un troyano llamado Flashback; para que ese troyano las “controle” debe existir un servidor de “command-and-control” desde donde el hacker envíe las órdenes a ser ejecutadas (desde robar información hasta usarlas como generadoras de SPAM)… pero para descubrir quienes están infectados el proceso que hacen los investigadores es doble:
- a) Dejan máquinas que naveguen por sitios maliciosos o abren cosas sospechosas (Honeypots)
- b) Analizando los “Honeypots” buscan de donde se mandan órdenes y recrean esos servidores de control (Sinkhole)
Si a eso le sumamos el hecho de que el parche original (liberado por Oracle) fue en Febrero y Apple recién lo aplicó en Abril… me parece que están haciendo las cosas mal porque es mucho más importante aplicar el parche lo antes posible que ponerse a cerrar dominios.
Y no, no es la primera vez que Apple la caga al meterse con su actitud en el mundo de la seguridad, ya revocaron licencias de desarrolladores que armaron pruebas de concepto y siguen sin arreglar la forma de hackear un iPhone usando variaciones de l1mera… con lo que, sinceramente, repito: no sé si Apple está haciendolo a propósito o si es un error de buena fe, pero para que una plataforma sea segura no se puede mantener a sus usuarios en la oscuridad.
Interesante nota en C|Net en la que un grupo de hacktivistas de vieja historia en el mundo underground y hacker le dice a Anonymous que “cruzaron una línea” con una lógica bastante interesante en su planteo:
- Si haces un defacement de un sitio no dejás que la gente vea quien es el enemigo
- Si haces un DDoS (un ataque distribuído que deja los sitios inaccesibles) cortás del derecho a expresarse del otro
- Si robás información y la hacés pública, seguís robando información
Y es interesante porque la crítica viene de fuentes que son, no son intachables en el mundo del hacktivismo sino que fueron los mismos que crearon el termino “hacktivista” como tal, y son: Cult of the Dead Cow (cDc), L0pht, Chaos Computer Club y 2600 y Phrack como medios.
Para tenerlo en claro, estos grupos son la base de la comunidad hacker del mundo y de donde el colectivo Anonymous debe haber tomado más de una de sus lecciones; pero es interesante ver como si no cambian las personas lo que cambian son las cirsunstancias, hay una frase de este grupo que me suena genial:
“Uno no puede legítimamente aspirar a mejorar el acceso libre de una nación a la información, trabajando para desmantelar sus redes de datos.”
Pero en momentos donde este tipo de agrupaciones empiezan a trabajar como células descentralizadas, regionalizadas y hasta con cierto tipo de dudas sobre su origen o su verdadera identidad ¿quien puede decirle a alguien que “cruzaron un límite”?
De hecho ¿es posible que existan objetivos y culturas tan diversas que estas personas no sean siquiera compatibles? El caso más interesante para comparar es Anonymous que, por verdadera necesidad trabajan en el anonimato má profundo mientras que EDT (ECD) aboga por una transparencia radical aunque esto juegue en contra de su libertad….
“El Hacktivismo es una ética cívica que creo que es parte integral de una sociedad democrática libre de hoy en día, pero con una gran salvedad. No justifico la violación de la ley.”
A veces parece haber contradicciones tan grandes entre gente que surgen con el mismo mandato de activismo que es interesante ver como se forman diferencias entre los grupos y como, estas diferencias, marcan campos y tipos de acción entre grupos que tienen intereses similares…
¿Terminarán las “fuerzas del orden” buscando usar estas diferencias en métodos para provecho propio? Quizas esto es un buen punto para analizar el underground actual y como está parado y como el cambio de circunstancias conlleva un cambio de actitudes o no…
Tip: les recomiendo leer Old-time hacktivists: Anonymous, you’ve crossed the line
Ayer Charlie Millerse descubrió una vulnerabilidad muy importante en iOS que permite esquivar los filtros de la App Store de Apple y, por medio de una aplicación que puede ser gratuita, conectarse a un server remoto y simplemente poseer control total de tu iPhone... ¿la respuesta de Apple? le sacaron sus credenciales de desarrollador
Una de las movidas más estúpidas de las que tenga memoria, un smartphone es cada día más importante en la vida cotidiana y piensen por un segundo en la cantidad enorme de información privada, personal y confidencial que uno tiene en el teléfono... no, tus fotos "intimas" es lo menos importante porque seguro tenés hasta datos de acceso a sistemas, a aplicaciones, datos bancarios y claves a otros servicios.
Un Drone o UAV es un vehículo aéreo controlado remotamente que cada día son más usados por la Fuerza Aérea Estadounidense, los más conocidos son el MQ9 Reaper y el MQ1 Predator ambos evolucionaron de maquinas de reconocimiento a maquinas de ataque usadas por USA en sus últimas "batallas por la libertad"... pero su principal ventaja es su principal punto débil, para manejarlos hay que emitir y recibir información.
(así se maneja un bombardeo :S)
Ya en 2009 los iraquíes interceptaban sus feeds de video con una simple antena de internet satelital y eso les permitía saber que se filmaba y que espiaban los de la USAF... ahora resulta que les metieron un Keylogger en su red, que no saben que tipo de información les capturaron, no saben como entró el virus y hasta un analista dice que "creemos que es benigno" claro, lo dicen como si no fuera importante deducir que una red militar con capacidad para bombardear demotamente tenga conexión a Internet pública (sino el virus debe haber entrado físicamente en la red y eso es peor), que esa red no está totalmente encriptada (sino no podrían sacarle los feeds de video) y encima que no pueden analizarlo forénsicamente porque no pudieron removerlo.
Ah, como es público van a decir que es una operación de prensa de la CIA ... en fin :S
Hay cosas que no termino de entender.. por ejemplo, que la gente siga usando Twitter como una herramienta para comunicaciones críticas o internas cuando no está pensado para eso y no es intrínsecamente seguro por diseño, que se entienda bien esto no es una crítica a la herramienta sino al uso que algunos le dan... y que todos conocemos como #DMFail
¿Que es un verdadero #DMfail? Decir 12 horas antes del lanzamiento de Facebook Music que la mejor función es "Listen with your friend" la que te va a permitir compartir en el muro de Facebook no sólo lo que estás escuchando sino que le permitiría a tus amigos hacer click y escuchar lo mismo que vos...
Pocas cosas me gustan más que leer noticias de la DefCon, algunas de las mejores son la cobertura que hace un amateur en el tema como DEF CON: The event that scares hackers de John D. Sutter que cuenta ese aire de leyenda donde "los hackers tiran las notebooks que usan en ese evento al terminar" hasta las muestras de que nada es totalmente seguro como Defcon Lockpickers Open Card-And-Code Government Locks In Seconds donde ponen en ridículo a Kaba y al Homeland Security con un clip... o a Android cuando descubren que Android could allow mobile ad or phishing pop-ups pero tal vez lo mejor son siempre los debates éticos que se dan en la "Escena" donde se discute desde el poder del anonimato en Internet hasta si los hacktivistas hacen mas daño que bien al atacar a diestra y siniestra cualquier tipo de institución financiera o liberar información sin siquiera revisar si es cierta o no al 100% en ese punto The Economist: Black hats, grey hairs es una buena cobertura sobre el tema :)
Hay un buen análisis de Sergey Golovanov de Kaspersky Labs sobre TDL-4 un virus troyano que infectó a más de 4.5 millones de PCs sumándolas a una botnet que evoluciona más rápido que los que la combaten.
Y es interesante leer el reporte por que explica básicamente (además de detallar los componentes del virus) como este se esconde, borra troyanos de la competencia, actualiza su código y hasta previene ser borrado...
Hace un tiempo, cuando el hackeo a Playstation network y varios sitios de Sony alrededor del mundo eran noticia, la empresa culpó a varias organizaciones aunque todavía no hayamos visto pruebas reales de esas acusaciones; pero recién hoy me aparece una duda basada en los datos de una demanda contra Sony:
"Apenas dos semanas antes de la intrusión de abril, Sony despidió a un porcentaje considerable de su fuerza laboral de Sony Online Entertainment, incluyendo un número de empleados del Centro de Operaciones de Red, que, según "testigo confidencial 2", es el grupo responsable de la preparación y respuesta a las violaciones de seguridad, y que aparentemente tenía las habilidades para mantener la seguridad de la Red al día"
En 50 días de Lulz se anuncia el fin de LulzSec el grupo de hackers que estuvo de moda en estos días por algunos archivos que expuso al público algunas cosas pero lo único realmente interesante fueron los papeles del Departamento de Seguridad Pública de Arizona y no mucho más... ahora lo raro: un documento en PasteBin con datos de identificación de usuarios del grupo por otro grupo de hackers.
Leo a Marco Arment de Instapaper en un post sin desperdicio: The FBI stole an Instapaper server in an unrelated raid donde se describe como el FBI entra en una empresa de hosting/colocation con una orden para frenar a un distribuidor de Scareware y en el operativo se lleva decenas de servers de otras empresas/clientes ¿como se llama apropiarse de propiedad de terceros sin una orden judicial? Robar.