GUERRA EN INTERNET

Muchos creen que la tercera guerra mundial es un cuento de ciencia ficción otros creen que nunca se dará, pero independientemente de nuestras creencias al respecto, pareciera que tal guerra ya comenzó. Es una “Cyberguerra” y se está combatiendo en la nube (Internet), muchos mortales ni nos enteramos, pero creámoslo o no, esta cyberguerra esta “cambiando el mundo”, y muchos nos daremos cuenta al final (como en todas las guerras del pasado), cuando nos encontremos ante una realidad diferente. Alguien podría decir “cyberguerra” eso suena como un juego de niños de lucha de robots, tal vez si, pero si esta guerra persigue la “información” ya estamos hablando de cosas mayores, “información es poder”. ¿Le suenan por casualidad los sustantivos Wikileaks o Anonymous?

Wikileaks (que podríamos traducir al español como “la biblioteca con filtraciones”) es un ejemplo de un sitio web que pone en jaque al gobierno más poderoso del mundo y lo está obligando a sustituir toda su diplomacia mundial. Para los que aún no tienen claro que es lo que hace Wikileaks y su cabeza visible Julian Assange, pues es sencillo, recopila información valiosa de gobiernos y agencias poderosas por el mundo y los distribuye libremente por internet, los medios de comunicación por el mundo recogen esa información como escándalos día tras día. Otro ejemplo de esta guerra es “Anonymous” , el grupo de hackers mundial que ha atacado recientemente sitios como el de Sony, haciéndole perder miles de millones de dólares. No tengo una bola de cristal para saber que pasara en esta ciberguerra, lo que sí puedo asegurar sin temor a equivocarme es que “El mundo comenzó a cambiar debido a la aparición de Wikileaks, Anonymous y otros grupos, movimientos, o como quieran llamarse, que pretenden establecer nuevas reglas en la nube”



“ANONYMOUS”
¿ Who is anonymous?

La misma pregunta nos suena a broma, nos preguntamos ¿Quién es anónimo?.... Pues alguien desconocido…. anónimo…. Usted o yo, cualquiera…

“Anonymous” nace con la “Operation: Payback” que al principio se dedicaba a atacar a organizaciones que se oponían a la piratería (como la RIAA y la MPAA en Estados Unidos). Esta operación

derivó ahora a la defensa de WikiLeaks, también bajo el nombre de “Avenge Assange” (vengar a Assange). Anonymous, también organizó ataques contra la SGAE (La poderosa y millonaria “Asociación de Autores y Compositores de España”) y el Ministerio de Cultura en España. “Anonymous” ha dado mucho que hablar en las últimas semanas, luego que hiciera despegar una “cyberguerra” en contra de quienes se oponen a WikiLeaks. Su arma de batalla: los ataques distribuidos de denegación de servicio (DDoS). Sus objetivos hasta ahora: PayPal, el banco suizo Post Finance, MasterCard, Visa y hace pocas horas, uno de los sitios del gobierno de Suecia. Y la lista no acaba allí.

Anonymous ya tiene en la mira más objetivos, que serán atacados por oponerse de una u otra forma a las operaciones de WikiLeaks, que como último golpe reveló miles de documentos confidenciales de diplomáticos estadounidenses, lo que le ha valido la persecución de parte de este país.

Pero Anonymous no tiene nada que ver con WikiLeaks. No está relacionada con ella, ni su organización tiene nada que ver. ¿Quiénes son Anonymous? ¿Quién está detrás?

“Anonymous puede ser cualquiera. Puede ser usted o yo, o el vecino, y es imposible identificar quiénes son sus miembros – sólo se pueden ver por el trabajo que hacen en conjunto. Se atribuye su nacimiento a “4Chan” (http://www.4chan.org/), aunque no es exclusivo.

Entre lo más destacado de este grupo está la “Operation Chanology“, una cruzada en contra de la iglesia de la Cienciología que incluyó videos en YouTube, ataques DDoS, envío de faxes negros, bromas telefónicas, y protestas presenciales (en las que los miembros del grupo usaban máscaras de Guy Fawkes de V de Vendetta) – todo para interrumpir el funcionamiento de la iglesia, a la que Anonymous consideraba que estaba intentando censurar internet.

Para realizar sus ataques, Anonymous utiliza una versión modificada del programa “Low Orbit Ion Cannon” (LOIC), que intenta interrumpir las operaciones del sitio objetivo al inundar sus servidores con paquetes y requerimientos, de modo que no pueda responder a todas las solicitudes y quede fuera de servicio.

La última versión de LOIC incluye un modo llamado “mente de colmena” que permite al programa conectarse con IRC, desde donde puede ser controlado de forma remota. De este modo, los PC que tienen instalado LOIC se comportan como si fueran parte de una red de bots (Computadoras Zombies, muy posiblemente la suya sea una de ellas). Así, los coordinadores de la Operation:Payback pueden comandar a toda la red a atacar un sitio, dejándolo rápidamente fuera de servicio si la red es amplia.

No está claro si las operaciones de Anonymous finalmente logren algún cambio en la situación de WikiLeaks o de su fundador, Julian Assange. Al menos, son un recordatorio de que la gente también tiene poder en internet, y que participar en un “grupo de hackers” ya no es tan raro como las películas nos hacían creer.

Este servidor podría ensayar un probable objetivo de Anonymous, “Oponerse a cualquier hecho, ley, comportamiento u acto que se oponga a la libertad en internet, que intente censurar la forma en la que trabajamos en la nube” o al menos creo que esos fueron sus objetivos de creación.

WIKILEAKS está cambiando el mundo.

La historia de Wikileaks está cambiando el mundo, y aún mucha gente no se ha enterado. Lo que está sucediendo con Wikileaks es la primera revolución de un pueblo globalizado contra sus gobernantes que está intentando ser aplacada con unos nuevos antidisturbios, los cuales están descubriendo y aplicando nuevas reglas del juego.

Wikileaks es un proyecto de información que intenta desenmascarar mentiras y actos de los poderosos, para ello su concepción es sencilla, busca obtener la verdad de personas que puedan ofrecer una fuente fiable. Ya sea un “insider” de la compañía en cuestión de forma anónima, el soldado Manning, que envío los cables robados a través de su Lady Gaga.

A partir de ese punto, le gustará más o menos lo que hacen, le parecerá más o menos hipócrita, criticable o no, pero las cartas están sobre la mesa y la mesa es algo más grande que un país, es Internet, algo que se supone que es libre y neutral… ¿lo es?

Desde que Wikileaks pusiera a disposición pública un volumen de información tan grande y tan fuerte, los medios de comunicación no dejan de dar la noticia del día, descubriendo cada cierto tiempo, muchas de las cosas que muchas veces caen en la teoría de la conspiración, pero que a la postre han resultado tener su base. Políticos aceptando sobornos, actos políticos enmascarando hechos en los juzgados, asesinatos encubiertos en daños colaterales, etc… información tal, que ha obligado al gobierno más poderoso de la tierra a cambiar casi toda su cúpula diplomática mundial.

A partir de ahí, podríamos decir que esta cyberguerra por Internet comenzó (Atención historiadores…). Wikileaks empezó a sufrir ataques DDOS desde botnes (redes de bots) que algunos decía que estaban controladas por el ejército americano, otros que eran equipos controlados por hackers USA y los más que era una guerra sucia de los poderosos comprando botnets a las mafias del malware.

Wikileaks tuvo, a partir de ese momento, que empezar a moverse por el globo terráqueo para intentar seguir activo. Se movieron a servidores por todo el mundo, hasta que aterrizaron en la nube de Amazon (la compañía americana de ventas por internet) Allí, estuvieron a salvo durante algo menos de 48 horas, tiempo que tardo “alguien” en apretar las clavijas lo suficiente a Amazon como para que los echara a patadas de su nube.

Al mismo tiempo, la presión contra Wikileaks seguía trabajándose por más servicios de Internet. Mientras que Ecuador se ofrecía como refugio, PayPal (el sistema de pagos por internet) decidió suspender uno de los flujos de dinero de Wikileaks anulando la cuenta de donación a este proyecto que tenían con ellos. Menos dinero.

La presión para aplacar estar revolución contra el mundo globalizado continuó en la imagen de Julian Assange, su cabeza visible, acusándole de violación de dos mujeres en Suecia y emitiendo una orden a través de la Interpol, para intentar capturarlo, ya que lo tenían localizado en el sur de Inglaterra. ¿Será verdad, o solo una medida de presión contra su persona?

El acoso a las personas relacionadas con Wikileaks ha sido tan brutal que algunos, como es el caso de Moxie Marlinspike, ha sufrido toda la dureza de la ley de frontera americana que permite a los miembros de seguridad copiar todos los datos en dispositivos electrónicos. Al parecer, esto le sucedió porque su número de teléfono aparecía en la agenda de uno de los colaboradores de Wikileaks, previamente detenido.

Por su parte, Julian Assange, que ha llegado a decir estos días que temía por su vida, ha generado un fichero cifrado con AES 256 (Sistema de encriptación de alta seguridad) con información suficiente, según él, como para que los que intentan acabar con él “lo piensen dos veces”. La clave, será distribuida en el caso de que le suceda algo.

Mientras tanto, el acoso al sitio de Wikileaks continuaba. En este caso a dominio de la página, haciendo que tuviera que “huir” a la “nube” del dominio en Suiza. (.ch). Debido a estos actos, desde Pirate Bay, un grupo que se ha mostrado muy activo y partidario de ayudar a Wikileaks, se proponen crear un sistema de DNS basado en redes P2P para evitar los puntos de censura en los servidores centrales de los dominios principales de Internet.

Tras los ataques vía hosting, vía Amazon, vía legislación americana e Interpol, el bloqueo de Paypal y el ataque al nombre del dominio, el último movimiento ha sido bloquearles los pagos de MasterCard, intentando, de esta forma, volver a ahogar un poco más el proyecto.

Estos movimientos, sin embargo, están generando una avalancha de reacciones negativas de la comunidad en Internet, que está reaccionando. Anonymous, la cabeza detrás de la operación Payback, está entre los que se han puesto como objetivo Paypal, Amazon Web Services y EveryDNS.net, organizaciones que ayudaron a empujar un poco a Wikileaks fuera de la nube.

Julian Assange, por su parte, está en el top de la lista Time de gente más importante de este año, y los servidores de Wikileaks se están clonando por todo el mundo a pasos agigantados.

Al mismo tiempo, la información publicada ya está en los medios de comunicación y será imposible evitar que sea analizada y se saquen conclusiones, Wikielaks seguirá vivo, ya sea como una página web, o como un flujo de datos P2P lo intenten evitar o no, y además, se está produciendo un efecto réplica y muchos grupos tienen su propio Wikileaks. El propio proyecto anunció tener datos reveladores sobre un gran banco en Internet, garantizando así la intención de continuar con el proyecto.

De momento, es posible seguir la cuenta de Wikileaks en Twitter (http://twitter.com/#!/wikileaks) y enterarse de qué está pasando en cada momento con el proyecto.
Por lo visto ¡ hay muchos que piensan que la nube es suya ¡ y quieren poner reglas al respecto, pero también hay de los que quieren que la nube siga siendo un lugar de libertades. Hay que ver el futuro, lo ideal sería libertad con seguridad. Lo cierto es que Wikileaks está cambiando el mundo y lo que suceda al final, determinara mucho sobre la nube en la que vivamos los próximos años.
.

¡ Happy Hacking ¡

Serios fallos de Seguridad en el iPhone y el iPad

Una de las características más destacables que tiene el sistema iOS de Apple, que usan sus equipos iPhone e iPad, es su sencillez de uso. Esta manera de ser hace que para muchos usuarios sea una herramienta perfecta, que pueden aprender a utilizar de forma rápida, lo que es parte de la popularidad que ha adquirido el teléfono iPhone, el iPod Touch y el popular Tablet iPad.

Sin embargo, esta simplicidad, en muchos casos está reñida con la seguridad los usuarios y así se ha visto en varias ocasiones. El no poder configurar una política de carga de imágenes o no en los correos electrónicos personalizada por mensaje, el no poder ver el código original de un mensaje de correo electrónico o el que una página web pueda quitar la barra de direcciones en el navegador, abren vectores a los atacantes. Vectores, que en sistemas operativos con más proteccion, hace tiempo que son conocidos, por tener mucha historia ya tras de sí, y se configuran con cuidado.

Hoy hablaremos de otro vector de ataque clásico que ya es conocido, pero que iOS de Apple no configura correctamente, y es la política de conexión a redes conocidas, que puede dar como resultado un ataque Man in The Middle (Hombre en el medio) en WiFi por medio de un rogue AP (Punto de Acceso Picaro) , es decir, por un falso punto de acceso WiFi que simula ser la red “habitual” de la conexión.

PRIMER FALLO: La lista de redes conocidas

Hay que destacar que la primera característica de falta de seguridad es la no posibilidad de ver cuál es la lista de redes que conoce un iPhone o un iPad. Esta lista se encuentra almacenada en un archivo en el teléfono o su iPad que se encuentra en la ruta /private/var/Keychains/keychain-2.db, pero que no puede ser visualizada desde ninguna opción del dispositivo, lo que deja al usuario “ciego” ante esta configuración.

La única forma de eliminar una red conocida es encontrase cerca de ella, y mediante una opción “olvidar esta red”. En cualquier caso, frente a un ataque de Rogue AP, esto sería inútil, ya que utilizaría el nombre de una red que el usuario sí quiere tener en su configuración, lo que no ayuda en mucho.

La opción de "Preguntar al conectar" es una de las menos entendibles opciones de la WiFi, ya que, se seleccione preguntar o no, siempre hace referencia a nuevas redes y no, a las redes conocidas, a las que se conectará de forma automática.

SEGUNDO FALLO: ¿Cuál es la política de conexión a las redes conocidas?

Esta es una de las preguntas con la que más hemos estado jugando. Supongamos un entorno en el que nuestro usuario tiene un alto movimiento geográficoy se conecta a 20 redes conocidas con asiduidad.. ¿cuál es la política de conexión de redes que sigue iPad? En el caso de clientes Wifi de Ubuntu en la versión 8.0.4 utilizaba una política de orden alfabético, mientras que en Windows y las nuevas versiones de Linux se puede elegir el orden manualmente. En el caso de iOS hemos visto que aplica una política LIFO, es decir, la última red conectada es la que tiene prioridad, pero en ningún caso el usuario puede configurar esta política.

TERCER FALLO: El más importante ¿Cómo reconoce a una red conocida?

Pues hemos podido constatar que esta política ha cambiado en las diferentes versiones, pero sigue siendo mala. En las versiones probadas inferiores a iOS 4.2.1, el reconocimiento de una red se hace solo por el SSID, es decir, únicamente por el nombre de la red. Esto abre muchos vectores de ataque, ya que bastaría con saber cuál es el nombre de la red utilizada en un entorno para que un hacker cree una con el mismo nombre totalmente abierta, para que los usuarios de iPad, iPod Touch o iPhone con versiones anteriores se conecten automáticamente a ellas.

Lo curioso es que, ante la existencia de las dos redes en el mismo entorno físico, prevalece la que tiene más potencia de señal. Así, como se puede ver en este entorno, tenemos un iPad con 4.2.1 conectado a una red WPA2-PSK, en la que se puede ver el candadito.

Creamos una red abierta, sin cifrado alguno ni autenticación, y lo que se consigue es que el iOS de los dispositivos de Apple, se desconecte de esa red y pase a conectarse a nuestro falso Rogue AP. Es decir, lo hicimos caer fácilmente en nuestra trampa, el sistema operativo no se protege ni ligeramente, el usuario del teléfono o el iPad, ni se entera, ni tiene ninguna posibilidad de configurar su equipo para protegerse.

Para iOS en versiones 4.3.1, hemos podido hacer las mismas pruebas, y esto no funciona de la misma manera, sin embargo, sigue abriendo un vector de ataque.

CUARTO FALLO: Reconocimiento de la red por nombre y descripción, pero no por el ESSID.


Una red puede identificarse por el SSID (nombre), el BSSID (solo para un único punto de acceso) o el ESSID (Extended SSID), para aquellas redes que tiene más de un AP que da servicio al mismo SSID. Es por ello que si en un edificio hay muchos AP con el mismo nombre para la red WiFi, el equipo puede ir saltando de uno a otro con normalidad. Si una red es de infraestructura debe ser reconocida por su ESSID, sin embargo iOS en la versión 4.3.1 (la que hemos podido probar) permite conectarse a cualquier AP que tenga el mismo SSID y la misma configuración de cifrado y autenticación. Y esto es un fallo de seguridad.

¿Por qué?

Pues es un fallo porque cualquier miembro conectado conoce la configuración de la red, por lo que puede crear un rogue AP con la configuración esperada por un iPhone o un iPad y hacer un “man in the middle” perfecto.

¿Solución?

El primer paso, evidentemente es actualizar a la última versión de iOS todos los dispositivos, ya que el funcionamiento en 4.3.1 es mejor que en el resto de los casos. En el caso de las empresas, la única solución sería utilizar sistemas NIDS para detectar los AP que se conectan en los alrededores y en el resto de los entornos (aeropuertos, cafés, hogares)… tener mucho cuidado, ya que, al no poderse ver las redes WiFi conocidas, es muy probable que alguna vez se haya conectado a alguna red Default, Public, Wifi, o similar, que pueda ser fácilmente suplantada.

¡ Happy Hacking Friends ¡



Initially posted by Chema Alonso (Madrid)