Archivo de la etiqueta: slackware

Ensayo de ética sobre seguridad informática

800px-Kevin_Mitnick_4892570820-660x438

La ética y los diferentes matices del investigador de seguridad

Kevin Mitnick, quien alguna vez fue considerado el hacker más buscado del mundo, perseguido por agencias del gobierno como el FBI y la NSA, fue acusado y condenado por varios cargos relacionados con piratería informática a grandes compañías como IBM, Motorola y Microsoft (entre muchas otras). Es ahora un hombre reformado, un hacker de sombrero blanco (White hat hacker), quien ofrece sus servicios de consultoría y hace uso de sus habilidades en la seguridad informática para ayudar a proteger la información y los activos de muchas compañías alrededor del mundo a través de la firma “Mitnick Security”, que principalmente ofrece servicios de hacking ético.

Sin embargo pareciera que Mitnick ha cambiado de sombrero una vez más, esta vez a un ambiguo color gris (gray hat hacker) debido al lanzamiento de un nuevo servicio que ofrece su compañía de seguridad. “Mitnick’s Absolute Zero Day Exploit Exchange” que esencialmente es un servicio en línea que permite a grandes compañías (casas antivirus, investigadores de la seguridad informática, etc.) con mucho poder adquisitivo comprar fallos de seguridad en los programas más populares de hoy en día en no menos de 100 mil dólares, “It’s like an Amazon wish list of exploits” en palabras del propio Mitnick. Este último ha sido objeto de opiniones de todo tipo por la comunidad de seguridad en Internet e incluso de algunas figuras de autoridad que participan en la misma como Kaspersky Labs (casa Antivirus muy respetada).
La venta de exploits (fallos de seguridad en el software) no es nada nuevo, esta práctica lleva desarrollándose durante décadas en el mercado negro (foros especializados en internet), y ¿qué es un mercado negro?, pues básicamente un mercado que no es regulado por una agencia gubernamental; debido a eso las transacciones que se dan por estos medios difícilmente pueden ser registradas y esto ha dado pie a que múltiples grupos criminales alrededor del mundo puedan hacerse con herramientas potencialmente peligrosas.

El objetivo principal de este ensayo será abordar de manera objetiva y utilizando una postura axiológica (una ética basada en una determinada serie de valores) las diferentes cuestiones tanto éticas como morales que rodean este tema tan controversial como lo es el servicio ofrecido por la compañía Mitnick Security dirigida por Kevin Mitnick, para eso antes debemos entender en profundidad cómo funciona el servicio que él ofrece, así como también tener un claro entendimiento del modelo de negocios que Mitnick nos plantea, solo de esa manera podremos dar respuesta a preguntas como ¿Es correcto desde un punto de vista legal el servicio que su compañía ofrece?, y si lo es, ¿es ético?, ¿En algún momento se está dañando la propiedad intelectual de las demás compañías?, ¿Quién puede y está capacitado para regular un servicio de este tipo?, preguntas de este tipo nos ayudaran a tener un criterio mucho mas amplio a la hora de analizar y medir las practicas poco ortodoxas de software que se ven con mayor frecuencia hoy en día.

Este acontecimiento es de gran interés para la comunidad informática y debería de serlo también para el publico en general ya que la tecnología y las cosas que aquí se exponen repercuten tanto directa como indirectamente a la población mundial, los profesionales que desarrollan este tipo de trabajo en la actualidad o las personas a las que les gustaría ejercerlo en el futuro tienen que entender antes que nada que existe una línea muy delgada entre lo que para un hacker una cierta acción es catalogada como correcta e incorrecta.

Desde un punto de vista objetivo la venta de este tipo de herramientas no está quebrantando la ley, pues esencialmente lo que se ofrece es información sobre la vulnerabilidad de un software o sistema en concreto, en dónde se infringen de cierta manera las políticas de la EULA (End User License Agreement) a las que la mayoría del software privativo está sujeto es durante el proceso de la creación del exploit (descubrimiento de la vulnerabilidad) ya que durante esta etapa, y en la mayoría de los casos, se requiere la aplicación de practicas relacionadas con la ingeniería inversa, acción que esencialmente viola el acuerdo de no aplicar técnicas de desensamblado al software, sin embargo las legislaciones relacionadas con el software aún no han madurado lo suficiente como para condenar este último acto.

Muchas de las compañías líderes en el mercado han comenzado iniciativas en donde ofrecen premios a los investigadores que encuentren fallos de seguridad en su software, compañías como GOOGLE, MICROSOFT y FACEBOOK ofrecen programas en donde si una persona tiene en su poder una falla de seguridad que afecte alguno de sus servicios puede ser recompensado con una cantidad en efectivo que va desde los 500 hasta los 150 mil dólares, dependiendo de la gravedad del fallo encontrando. Tristemente este no es el caso de muchas otras compañías quienes tratan de ocultar a toda costa sus errores e incluso comienzan acciones legales contra quienes vulneran su software.

Es en este punto en donde Mitnick identifico una oportunidad de mejora y está intentando “formalizar” el negocio, según sus palabras, su compañía está tratando de actuar como un intermediario entre las grandes compañías y los pequeños grupos investigadores que encuentran los fallos, de esta manera los hackers que encuentran vulnerabilidades pueden ganar recompensas mayores a 500 dólares, vulnerabilidades que a las compañías les costaría miles y posiblemente millones de dólares identificar y corregir.

Quizás, una de las controversias mas grandes de este modelo de negocios es: ¿Y quienes serán los clientes?, Mitnick explicaba que cualquier empresa que desee comenzar a hacer negocios con su compañía tendrá que pasar antes una exhaustiva prueba de confiabilidad, esto con la finalidad de percatarse de que la información vendida no será utilizada con fines maliciosos. “I would’t consider in a million years selling to a government like Syria or to a criminal organization,” fue su primera respuesta, para después explicar “Customers want to buy this information, and they’ll pay a certain price. If they pass our screening process, we’ll work with them”.

Mitnick no es el único, es una de muchas personas quienes en la actualidad, y apegándose a la filosofía hacker, tratan de mejorar la tecnología que las personas utilizan. La ética hacker, expresión mencionada por primera vez en 1984 por Steven Levy en su ensayo Hackers: Heroes of the Computer Revolution y en dónde describe y enuncia con detalle los principios morales que surgieron a finales de los años cincuenta en el Laboratorio de Inteligencia Artificial del MIT , es una corriente filosófica de carácter axiológico basada en normas y principios que tienen que ver con el acceso libre a la información y en como la informática puede mejorar la calidad de vida de las personas.

Tomando como premisa la filosofía anterior es posible entender el por que este tipo de servicios deberían de existir (concretamente “Mitnick’s Absolute Zero Day Exploit Exchange”) e incluso por que deben de popularizarse entre las compañías de tecnología alrededor del mundo, valores como la pasión, libertad, conciencia social, anti-corrupción, accesibilidad y creatividad es lo que realmente mueve a los investigadores de la seguridad informática (hackers) y es lo que los hace hacer, en algunas ocasiones, cosas buenas que parecen malas, pero cuyo objetivo final es tener una repercusión positiva hacia la comunidad que los rodea.

Pekka Himanen, filósofo finlandés, doctor por la Universidad de Helsinki, en su libro “La ética del hacker y el espíritu de la era de la información” refuerza esta forma de pensamiento con el siguiente fragmento de su escrito “En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software libre. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática. En este sentido, la ética hacker es una nueva moral que desafía la ética protestante del trabajo, tal como la expuso hace casi un siglo Max Weber en su obra La ética protestante y el espíritu del capitalismo, y que está fundada en la laboriosidad diligente, la aceptación de la rutina, el valor del dinero y la preocupación por la cuenta de resultados.

Frente a la moral presentada por Weber, la ética del trabajo para el hacker se funda en el valor de la creatividad, y consiste en combinar la pasión con la libertad. El dinero deja de ser un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre acceso, la transparencia y la franqueza.”

Es por eso que cualquier profesional de la seguridad como Mitnick que desempeñe su trabajo y utilice sus habilidades de manera honesta, y recordando la ponencia de Emilio Martínez Navarro sobre la ”Ética de la profesión: proyecto personal y compromiso de ciudadanía”, podría responder a la pregunta “Qué estoy haciendo con mi vida?” con la siguiente frase: Estoy creando seguridad, estoy haciendo del mundo tecnológico un lugar mejor y mas seguro para las generaciones venideras así como también estoy poniendo a las compañías un paso por delante de los cibercriminales.

Referencias

Ética de las profesiones: de los obstáculos estructurales a la responsabilidad profesional (2008). En Graduats.org. Consultado en diciembre 5 de 2012, en http://www.graduats.org/curso2007-2008/seminario/textopatrici.htm

Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits (2014). En Wired.com. Consultado en octubre 30 de 2014, en http://www.wired.com/2014/09/kevin-mitnick-selling-zero-day-exploits/

Ethical Hacking (2008). En Seguridad.unam.mx. Consultado en octubre 30 de 2014, en http://www.seguridad.unam.mx/descarga.dsc?arch=2776

IBM Research domain hackeado

EL grupo de ciber hacktivismo Kosova Hacker Security o mejor conocido como KHS ayer por la tarde logro colarse en uno de los servidores del gigante multinacional IBM logrando de esta manera obtener el control del mismo y defacear el sitio web IBM Researcher. Para tomar el control del sitio uno de los miembros del grupo informo que el website tenia varias vulnerabilidad, entre ellas una sql injection y un remote code execution, el mirror ha sido publicado en Zone-h por si quieren verlo aqui

fuente: IBM Research domain hacked and defaced

salu2.

Identifican un nuevo lenguaje en Duqu

Investigadores de Kaspersky han detectado que diversas secciones del malware duqu estarían desarrolladas en un lenguaje de programación nunca antes visto y del que no se tenían registros. Según los más recientes análisis se trata de un lenguaje que es extremadamente complejo esto habla bastante de la experiencia de sus creadores.

Después de que Microsoft lanzara un parche para supuestamente detener a Duqu, los investigadores siguen descubriendo más acerca del malware. Duqu fue adjudicado a los creadores del virus Stuxnet por lo que su peligrosidad es muy elevada así poniendo en jaque a parte del planeta.

Prueba de su peligrosidad radica en que investigadores sigan descubriendo partes del malware en un lenguaje que se desconocía por completo. Al parecer los investigadores están intentando comprender el funcionamiento de Duqu, sobre todo como es que establece conexiones, penetra sistemas y roba información.

Los miembros de Kaspersky han encontrado grandes partes de código al que han denominado como Duqu Framework y ha dejado a más de uno sorprendido por su complejidad.

En los laboratorios de Kaspersky han hecho un comunicado a la comunidad en la que piden a desarrolladores, programadores y expertos de Internet a facilitar cualquier tipo de información acerca de este nuevo lenguaje que pueda ayudar a aclarar este panorama.

Fuente: identifican un nuevo lenguaje en duqu

HHG5XX App mexicana para auditorias en redes

HHG5XX default WEP key scanner es una aplicación para Android diseñada para consultores de seguridad informática, ayuda a auditar las contraseñas de fabrica de una red inalámbrica de equipos Huawei HG5XX. Esta herramienta se integra con Mac2wepkey para generar la contraseña de fabrica de todos los equipos encontrados.

En lo personal tengo la suerte de conocer al desarrollador de esta app en persona, Paulino Calderon, con quien he trabajado antes y es súper buena gente hehe.

El uso de esta aplicación es bastante sencillo solo basta con descargarla e instalarla en tu teléfono con android y cuando estés en algún lugar donde requieras una conexión a internet solo escaneas la zona y entonces la aplicación ara el resto :D, por ultimo la aplicación te indicara a que red te puedes conectar así como la clave para hacerlo.

Tuve la fortuna de estar en la platica que dio la gente de WebSec donde explicaron el proceso de ingeniería inversa por hardware que realizaron a los equipos Huawei HG5XX para obtener el algoritmo de generación de Wep Keys en base a la dirección Mac de los mismos, con el que posteriormente crearon la aplicación Mac2wepkey xD (realizado por Humberto Ochoa).

Aquí hay un video demostrativo de como funciona la aplicación:

Y por ultimo les dejo los enlaces para descargar la versión de paga y la versión gratuita

HHG5XX default WEP key scanner
HHG5XX WEP scanner FREE
Para mas información visiten la web de Paulino Calderon

Código QR para descargar

Hackers acceden a información confidencial de usuarios registrados en los foros de Steam

Durante el fin de semana los foros del servicio de distribución digital Steam (cuyo propietario es Valve) fueron hackeados, por lo que se mantuvieron fuera de línea aduciendo un proceso de “mantenimiento”.

Ahora fue el Director General de la compañía, Gabe Newell, quien entregó mayores detalles sobre el ataque que sufrió el servicio durante el fin de semana, dejando en evidencia que este no sólo afectó a los foros sino que alcanzó también a la Base de Datos de Steam.

Es así como el propio Newell reconoce que dicha Base de Datos contiene información relacionada con los nombres de usuario, sus contraseñas, detalle de compras de juegos, direcciones de e-mail, dirección de facturación y, como si lo anterior fuera poco, información encriptada de las tarjetas de crédito.

De inmediato se aclara que en la investigación que han realizado hasta el momento, no han logrado detectar algún uso fraudulento con los números de las tarjetas de crédito (los maleantes tendrían que desencriptar la información), de todas maneras recomiendan a sus usuarios mantener vigilada la actividad de dichos plásticos y sus respectivos estados de cuenta.

Como suele suceder en estos casos y como medida adicional de protección se pedirá a todos los usuarios de los foros del sitio que cambien sus contraseñas en cuanto tengan acceso a sus cuentas. Lo anterior no será obligatorio para aquellos que mantengan una cuenta en Steam, aunque de todas maneras se recomienda cambiarla por otra sobre todo si es la misma que el usuario utilizaba en los foros.

fuente: Valve: Hackers Accessed Steam Users’ Encrypted Passwords, Credit Cards