martes, julio 17, 2012

Como el Ejercito Chino  NOS roba informarcion por Internet
En China NO es ilegal robar informacion
Capturan todo lo que pueden y de todos, luego escogen

Michael Maloof, un ex-analista de la política de seguridad en la Oficina de Defensa de EEUU, informa que el gobierno chino ha ordenado instalar una backdoor “puerta trasera”  en dispositivos fabricados por Huawei y ZTE Corporation. Es decir, teléfonos móviles, dispositivos de red móvil y otros equipos para operadores de comunicaciones los cuales les daría acceso al 80% de las comunicaciones mundiales. (http://www.wnd.com/2012/07/chinese-have-pervasive-access-to-80-of-worlds-telecoms/).






En otras palabras China estaría monitoreando, cuentas bancarias, passwords, sitios visitados, preferencias, y muchas cosas más referido al 80% de la población mundial. Pero, usted dirá: “A mí no me afecta pues no tengo un celular chino, sino un iPhone o un Blackberry, sin embargo, recuerde que Huawei y ZTE, son proveedores principales de equipos de red móvil de las principales operadoras de telefonía del mundo, por lo que sin necesidad de llegar a su teléfono pueden hackearle al información desde los nodos de su operador telefónico”


En estas circunstancias solo estarían libres las comunicaciones de los sistemas de seguridad de EEUU, que trabajan en Internet 2.0. y aquellos de nosotros que contemos con equipos de encriptación tipo militar. Esto también justifica la última decisión del Congreso americano que en resumen estipula que: "Cualquier ataque cibernético a EEUU o alguno de sus intereses en el mundo, se entenderá como un ataque a la unión y puede ser respondido militarmente". Como WND informó anteriormente, el potencial para el espionaje industrial y sabotaje a través de puertas traseras electrónicos ha acaparado la atención del Comité de Inteligencia de EE.UU. House, que ha decidido investigar Huawei y ZTE.




Según la publicación “La preocupación no sólo es en la protección de información confidencial, pero la amenaza potencial para las infraestructuras críticas de EE.UU. y la seguridad nacional”.

Debido a la preocupación, los EE.UU. Departamento de Comercio de finales del año pasado prohibió Huawei de participar en un proyecto para construir una red inalámbrica nacional, una especialidad de la empresa. Mientras que el Departamento de Comercio no quiso hacer comentarios oficiales sobre la base de la decisión, alegando razones de seguridad nacional, dicen fuentes que la preocupación es la conexión de la compañía para el Ejército de Liberación del Pueblo Chino.




“Hasta 2000, Huawei fue prácticamente desconocido fuera de China, pero en 2009 había crecido hasta ser uno de los más grandes, sólo superada por Ericsson.

Como consecuencia, las fuentes dicen que cualquier información que atraviesa "cualquier" red Huawei no es segura a menos que incorpore cifrado militar. Una fuente advirtió que "aun así, no hay duda de que los chinos están trabajando muy duro para descifrar todo lo que interceptan".



El gobierno chino y el Ejército Popular de Liberación están muy involucrados en la ciberguerra, y analizan los equipos Huawei y ZTE, los cuales son comercializados en unos 145 países y en 45 de los 50 centros de telecomunicaciones del mundo, a través de backdoors. La información no sólo podría ser interceptada sino también saboteada.





Desde que la historia salió a la luz, las fuentes dicen que este hecho está dando acceso a China a aproximadamente el 80 por ciento de las empresas de telecomunicaciones del mundo y que están trabajando en el otro 20 por ciento actual.

Incluso no usa productos chinos (teléfonos móviles, mp3, Apad, etc.), todavía no está seguro. Eso es debido a las intrusiones electrónicas son realizadas en forma remota mediante redes comerciales que son establecidas por Huawei y ZTE. Por ejemplo, las empresas se comunican utilizando redes privadas virtuales (VPNs) con otras empresas asociadas y, estas en algún lugar utilizan productos de Huawei y ZTE. En Perú por ejemplo, la mayoría de los equipos de las estaciones base y dispositivos de red de los operadores Claro y Movistar, son de las marcas antes mencionadas….



Me pregunto ¿y qué hacemos en Perú al respecto? ¿Seguimos creyendo que los hackers son un cuento de ciencia ficción? ¿Qué hacemos para proteger nuestras instalaciones críticas? ¿Qué hace el viceministerio de comunicaciones que sabe perfectamente que más del 80% del equipamiento de las dos principales operadoras de telefonía móvil es marca Huaweii o ZTE? ¿Qué hacen nuestros expertos en seguridad informática de escritorio, que niegan la existencia de la informática Underground? ¿Y nuestras fuerzas de seguridad?...


Dios (o nuestros hackers) nos libre ¡!

Bienvenidos a la inseguridad informática!!


Necesitamos hackers urgentemente ¡!






miércoles, julio 11, 2012

¡¡ Necesitamos hackers …. Urgentemente !! 


 Un Pirata es aquel que asalta bienes o personas para su beneficio, pero recordemos que en la antigüedad potencias como Inglaterra, convirtieron a sus más proclives marinos ( reconocidos Oficiales de marina) en Corsarios (Pirata al servicio de un estado). 

 En el caso de los Hacker, muchos se denominan así pues quieren resaltar en su comunidad. Sin embargo, hacker viene de Hacktivismo, que podría traducirse como "activismo en la red", algunos reclaman su "individualidad o libertad" de poder tener datos confidenciales al saberse que las agencias de gobierno pueden y tienen acceso a nuestros datos, viéndolo desde ese punto de vista, los hackers defienden nuestro derecho a la libertad en la Web

Un "hacker" reconocido mundialmente y amigo personal, mi profesor y colega en IBM Madrid, experto en seguridad y penetración de sistemas quien trabaja para el Departamento de Defensa de EEUU, IBM y muchas otras reconocidas empresas del medio, hace poco en una exposición de Ciberseguridad en Perú, traído por el Ejército, decía: "NOS TEMEN NO POR LO QUE SOMOS, SINO POR LO QUE REPRESENTAMOS....... LA LIBERTAD". 

Los verdaderos hacker o como quiera denominárseles, en mi entender, son profesionales de la seguridad, expertos que no les interesa dejar de dormir muchos días con la finalidad de lograr sus objetivos, buscando donde no hay manuales ni software que haga las cosas, conociendo profundamente los protocolos de Internet y cómo funcionan, van más allá de donde terminan los libros o la "información oficial" de los muchos Microsoft ¿No le hace recordar esto a los primeros informáticos? ¿No nos formamos así?... Pues si ese término se hubiese acuñado antes... Nosotros seriamos llamados “hackers”, aquellos que aprendimos la informática, sin manuales, sin profesores, sin mouse… rompiendo sistemas.

Los informáticos modernos quieren hacerlo todo con un click, se olvidaron de los puertos y las vulnerabilidades, creen que con un Antivirus y un Firewall (que muy pocos configuran adecuadamente) la seguridad está garantizada, nada más falso. 

En mis cursos de Seguridad Informática, no enseño lo que dicen los libros, teoría sobre los tipos de seguridad, clasificaciones mil y cosas por el estilo, sino más bien, que técnicas existen para penetrar sistemas, como vulnerar una red inalámbrica o alámbrica, como evadir los protocolos, como borrar huellas de la intromisión, pues necesitamos investigadores fanáticos, guerreros que nos defiendan de los ataques, aquellos que comienzan, donde nuestros informáticos de escritorio, de muchos diplomas y hermosos libros, no dan mas, allí "in the edge", donde termina la ley.... La ultima linea de defensa.... esos son nuestros hackers.

Personalmente no creo en nuestros "expertos en seguridad de escritorio", que repiten de paporreta lo que dicen los libros, para ellos esta bien el dia a dia de informatica, administrar la red, ver las impresiones, las tareas de rutina, etc.. 

La Seguridad Informática es como aprender a manejar bicicleta, no podemos aprenderla en los libros... !!! 

Modestamente, creo, que la única forma de defendernos en la insegura red de redes es saber cuales son los últimos métodos de penetración de sistemas, pentesting, y estar al tanto día a día de los últimos descubrimientos de hackers, como Fyodor, Dimitri, Chema Alonso, Jean Paul Garcia y tantos otros respetables expertos en cyberseguridad. Eso, cuesta muchísimas horas, sin dormir, frente a la pantalla, olvidarse de que existe el mouse, usar Unix, linux o Backtrack como sistemas operativos de uso diario, necesitamos combatientes del ciberespacio... 


 Por último, ¿a quién pondría a cuidar su casa?, a alguien que estudio sobre seguridad en los libros o a un ex-ladrón, o a un vigilante inexperto? ¿Quién podría proteger mejor los sistemas que aquel que sabe cómo penetrarlos? 

Existen redes zombies de teléfonos celulares, virus para blackberry, iPhone o Android, hacer una bootnet (red zombie), con los conocimientos adecuados es relativamente simple, y lo hacemos en clase.. Tengo una red zombie de unas 400 PCs de todo el mundo que uso para atacar los sistemas de las empresas donde he trabajado como encargado de seguridad, pues... ese es el trabajo… 

El responsable de la seguridad informática debe de estar atacando permanentemente su red, con las últimas técnicas a fin de poder descubrir vulnerabilidades y protegerla adecuadamente, para eso debe de pertenecer a comunidades Underground y ser “amigo” de los hackers buenos y malos… y ¿por qué no?... si es uno de ellos (de los buenos) mucho mejor …. ESA ES LA FORMA. 

 En el país hay una absoluta falta de conciencia en seguridad informática, con mis alumnos algunas veces hemos parado el carro frente a una empresa, nos hemos conectado a su red inalámbrica, hemos penetrado la red y hemos hecho de todo, y sería capaz de apostar que los "expertos" de seguridad de esas empresas u organizaciones, jamás se enteraron, ni se enteraran... 


Hace un par de semanas, un troyano chino, robo cerca de 100,000 planos, en formato de AUTOCAD, de diversas empresas peruanas, dirigiéndolos a servidores en China, es decir, nos están robando el ingenio de cientos de ingenieros de empresas, instituciones del estado y otros.... Y NADIE SE ENTERA... NO SALIO EN LOS PERIÓDICOS. 


En los últimos meses han sido hackedas la red de los ministerios de Defensa, Relaciones Exteriores, Presidencia del Consejo de Ministros, Presidencia de la República, y miles de empresas, organismos públicos, privados, universidades, etc....Y NADIE HACE NADA... Nuestros informáticos "ocultan" el tema, lo hablan por debajo de la mesa, o simplemente desprecian a los "hacker" como si fuesen colegiales malcriados... ¿no sera que están ocultando su incapacidad?






 ¿No cree que necesitamos hackers en nuestro equipo?... 
¿ Está equivocada la CIA, NSA, FBI, etc., al contar con el apoyo de muchos de los hackers mas famosos del mundo?...
¿No estamos optando en el país por la técnica del avestruz al esconder la cabeza ante los problemas?.


¿ QUE ES UN HACKER ?

Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene por qué ser malo para tu compañía.

En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker

Un hacker es alguien capaz de llegar más allá de lo que dicen las especificaciones, consiguiendo hacer cosas que van desde lo curioso a lo maravilloso pasando por lo menos esperado. Así, un hacker puede montar una computadora en un drone para obtener los datos de los usuarios de redes WiFi a 100 metros de altura, o modificar el tan nombrado asistente personal Siri que viene en los iPhone 4S de la compañía de la manzana para que pueda ser controlado por la mente, como hace el proyecto Black Mirror, o encontrar un fallo en el sistema criptográfico de un algoritmo para poder descifrar la información oculta en cuestión de unos minutos.... Y saben Que, no requiere de sofisticados equipos informáticos... tan solo de una vieja computadora portátil, con un procesador mucho mas antiguo que el que usted tiene amigo lector.


Todos ellos son hackers. Son gente con capacidades especiales, adquiridas en base a mil horas dedicadas por culpa de una pasión infinita, o por un ansia enfermiza que les impide dormir sin responder a la preguntas que le atormentan: 

¿Por qué? ¿Cómo? ¿Y si...?

Por eso necesitas un Hacker en tu empresa !!!


Ahora piensa en positivo, y supón que esas habilidades hacker están al servicio de tu empresa.

¿Cuantas páginas web han sido vulneradas por fallos sencillos que podría haber detectado cualquier hacker que hubiera echado algo de tiempo en mirar la seguridad? ¿Cuántos problemas intentos se podrían haber evitado si un hacker te hubiera alertado internamente de que hay una herramienta que permite acceder a los datos de la WiFi que usa el director general? ¿Cuánto dinero se hubiera ahorrado una compañía si hubiera cerrado los fallos de seguridad que han llevado al robo de datos, la consiguiente multa del gobierno y descrédito en la opinión pública en muchas empresas? . 


Cuida a tu Hacker

No les tengas miedo, no pienses en ellos como en el enemigo. Igual que confías en tu DBA, debes confiar en tus hackers. Tómalos como un recurso de valor dentro de tu organización, sacando de ellos lo mejor que tienen.

Cuídalos, mímalos, igual que cuidas al resto de tu equipo, y obtendrás un punto de vista nuevo de tus sistemas y unas capacidades ampliadas que harán que todo tu grupo de profesionales crezca en resultados.

¡¡  Necesitamos hackers …. Urgentemente !!

*** Los últimos párrafos son ideas tomadas de Chema Alonso… Gracias


Les cuento también que con un amigo peruano radicado en Madrid, dos argentinos y algunos españoles, todos reconocidos hackers, estamos trabajando en el proyecto de abrir el HACKER INSTITUTE PERU.  La idea es formar “fanáticos” en cyber-seguridad, allí no habrá libros en papel, ni mouse, mucho menos sistemas Windows, tampoco habrá exámenes teóricos sobre si saben las normas de seguridad de memoria. Sera un Instituto Virtual con formación ofensiva y por resultados. Este proyecto que venimos madurándolo por algunos meses, debe ver la luz en unos meses, si es que aun permanezco en el país, sino, nos llevara algo de tiempo más.


HAPPY      HACKING !!!