martes, 21 de mayo de 2013

Wargame a la vista!

Para los que no sepan lo que es un wargame, básicamente consiste en un juego donde se ponen a prueba los conocimientos de hacking por equipos. Cada uno de ellos dispone de un servidor(fortaleza) con varios servicios mínimos y la misión es atacar a los equipos enemigos a través de SQLi, exploits,etc y defender el tuyo de los mismos. La mayoría de los wargames consisten en capturar la bandera enemiga (CTF o capture the flag) alojada en su servidor (Base Camp).



Al lio

El wargame con el que he topado es CTF365. Les dejo toda la información a continuación:



El Combatiente
Un combatiente es un usuario con cuenta en CTF365. El combatiente tiene que declarar el país que está luchando. Un combatiente sólo podrá ser parte de un equipo a la vez. Los combatientes pueden unirse y salir de diferentes equipos.

El equipo
Un equipo debe tener al menos 5 combatientes (hackers) y no más de 10. Esto proporcionará la flexibilidad suficiente para ambas actividades: las capacidades defensivas y ofensivas. Cada equipo se iniciará con al menos una fortaleza. Sin fortaleza no hay CTF.

Las alianzas
Los equipos pueden crear alianzas y estrategias de ataques comunes. Sin embargo, si un usuario reclama una victoria sobre la fortaleza del enemigo los puntos van al equipo, a menos que su alianza con otros equipos se declare y registre como una alianza, en cuyo caso los puntos van igualmente a los equipos que forman la alianza.

La fortaleza (servidor)
En la competición CTF este sería el servidor a proteger mientras se intenta hackear otros servidores (siempre dependiendo de las normas y diseños).
- Cada fortaleza (Base Camp) tiene que ejecutar una lista de los servicios mínimos necesarios como SMTP, POP, IMAP, FTP, etc. - La fortaleza debe tener al menos un CMS (Content Management System) + plugins específicos (álbumes de fotos, cuota social media, programas de vídeo incorporado, etc. - La fortaleza debe tener al menos dos navegadores diferentes???. - La fortaleza debe contener al menos 3 aplicaciones web. - La fortaleza debe tener como mínimo de 2 bases de datos diferentes.
Premios
Cada campaña tendrá un premio distinto que se anunciará al mismo tiempo que la propia campaña.

Link del WarGame: http://www.ctf365.com/
Fuente: http://www.hackplayers.com/2013/05/ctf365-el-mundo-esta-inmerso-en-una.html

¿Algún valiente? :P

Salu2!!

lunes, 20 de mayo de 2013

Esta es la historia de un viejo pirata...

Hoy les traigo la historia de Vladimir H4rk0n3n, un pirata de los de verdad.


Mientras escribo estoy escuchando Cowgirl de la BSO de “Hackers: Piratas informáticos” Sí, yo también me flipé cuando Angelina estaba para mojar pan. Como no sé a quienes me diríjo en cuanto a edades y experiencia, trataré de hacer como si os conociese de toda la vida, que en ingeniería social siempre funciona, y os trataré como las personas inteligentes que sé que abundan por el mundo y tratan de encontrar su camino. Lo que sí que quiero primero es dar las gracias a Chema en particular y a sus colaborador@s en general por esta pequeña propuesta, que aunque este blog no es la DEFCON, hay tanto nivel por aquí que estoy seguro de que son muchos los que merecen más que yo dirigirse a vosotros. Y ahora sí, quiero contaros una pequeña parte de mi historia, encuadrada en este hermoso mundo del Hacking, con las cosas buenas y malas que puede tener.

De niño a hacker

La primera vez que tuve acceso a un cacharro (no sé si llamarlo computador) fue un Atari 1600. Era una especie de primitiva vídeoconsola, que eso sí, traía teclado y un par de mandos que aún conservo en mi trastero. La gracia radicaba en que aquella cosita tenía la capacidad de servir como plataforma de texto (no sé si sería correcto decir que procesaba insitu) y entendía Basic. No Visual Basic, BASIC del de toda la vida, aquel GWBasic, que por cierto podía cargarse en el Windows 3.30. Después, casi un año más tarde con unos 9 añitos me compraron mi ZX Spectrum que también tenía a Basic como su lenguaje.

Empecé como much@s de mi generación, jugando a juegos y copiándolos en cintas vírgenes que canjeaba por cromos de “V los visitantes” y chucherias colegiales variadas. Hasta un día me dió por poner a cargar el mítico juego “Game Over” (que por cierto tardaba lo suyo y a veces se quedaba pillado) y me quedé, al contrario que otras veces, fente al monitor viendo simbolitos raros y las salidas del código que para mi éran un misterio hipnótico junto con la estética ciberpunk del juego.




A partir de ese momento empecé a interesarme en revistas de ordenadores de la época. Tenéis que entender que para un chavalín de aquellos tiempos, sin Internet y sin adultos que entendiesen nada de informática fué un verdadero reto meterse casi todos los días en la biblioteca con tropecientos libros de informática y un diccionario VOX, porque la mayoría venían en inglés y, por entonces no se enseñaba obligatorio. ¿Os reís? Bien, eso espero porque es parte de la lectura.

Sólo cuando era la hora de los TRANSFORMERS en la tele dejaba de leer porque los Transformes de aquellos tiempos eran cosa sagrada. Entre revistas y libros he continuado hasta hoy mi vida, sacrificando a veces las relaciones sentimentales y las horas de fiesta, que muchos somos así de fanátic@s, y sabemos que si no le dedicas tiempo, no aprendes.

En mi vida personal, como en las de muchos otros, las cosas no me fueron fáciles. Soy un poco autista, y siempre he logrado que nadie se diese cuenta salvo mi madre, ellas saben esas cosas. La relación con mi padre tampoco me fue sencilla, ya que era bastante violento conmigo. El alcohol y la mala baba no son compatibles. No me importa hoy en día, refugiado al otro lado de la pantalla, hablar de esto, ya que ciertamente es un hecho de mi vida que me ha marcado muy dentro haciendo que yo creciera queriendo ser un tipo totalmente distinto a él.

Con la pasión por los ordenadores como refugio personal, en la biblioteca descubrí la electrónica. Hasta entonces los rayos catódicos, el infrarojo y la señal de televisión me parecían cosa de magia, pero no, ciertamente tenían su cosita. Así que el pequeño crío que fui empezó a chupar conocimiento y a descubrir por qué True y False tienen su equivalencia en un uno y un cero. La electrónica no se me ha dado mal aunque no sea ni mucho menos un mago con ella, pero con 11 años y, alentado por una película de USA (cuyo nombre no recuerdo pero éra de clase B) me gasté mis ahorros de la hucha en componentes electrónicos. Tenía como base un circuito que venía de regallo en una revista de informática, un circuito de modem. El circuito lo monté sobre una caja de cartón de un 1Kg de las galletas Maria Fontaneda, y ya veréis la que acabé liando con aquél modem.

Al cabo de tres meses de soldar, quemarme y cortarme las manos cosa mala, y huelga decir que escondiendo el material de las garras de mi padre, tenía un modem casero de 5600 baudios. Entonces aquello era canela fina, máxime si pensáis que, según creo, yo éra el único niño de España que con 11 años tenía su propio modem. Con un poco de esfuerzo y de investigación empecé a comprender cómo iba el tema de la telefonía cableada. Tanto es así que tuve un golpe de suerte. De repente se pusiéron de moda las llamadas internacionales y había que marcar un porrón de numeritos para llamar a Portugal pero yo estába ya elaborando mis planes. Quería conectar con las viejas BBS, las cuales sirven aún de modelo a los foros actuales y, perdonadme pero para mí eran mucho más rápidas y emocionantes. Sin gráficos, el hipertexto de aquellos días era lo mejor y aquellos ruidos en el modem que parecían decir - Ok chaval, ¡vamos allá! - ¡Eso sí que era música en mis oídos.

Había que introducir la dirección IP, aquella Arpanet 2, sin DNS de ninguna clase y si quieres algo cómodo configúrate el fichero hosts. Así que, valiente de mí, empecé a usar las direcciones IP de las publicaciones americanas. Sin tener ni idéa de inglés me embarqué por los canales de lo desconocido. Y en esas microcomputadoras copié listados a papel y lápiz de otras direcciones IP. Supongo que aquello me convirtió en un newie solitario. Di con una BBS que permitía almacenar mensajes (algo así como el Evolution de GNU/LINUX). Ya que sólo disponía de 30 minutos al día para usar el modem, después se acababa ya que éra una medida de seguridad de la compañía de teléfonos para que no se disparásen las facturas. La primera imagen digitalizada que vi tardó unos 5 minutos en cargar, en blanco y negro. Era la portada del disco Oxygen de Jean Michael Jarre modificada y con un letrero ASCII con el siguiente mensaje: LoD [Welcome you at Legion of Doom]




A veces pienso si mi vida sería la misma de no haber llegado a semejante paraíso del conocimiento. Estoy seguro de que habría acabado cual común usuari@ (y tod@s somos usuari@s). Obviamente, como niño que era, yo no tenía ni idea de a donde acababa de llegar, pero recuerdo que apunté y subrayé aquella dirección IP. Aquella noche dejé mi AMSTRAD PC 8086 (30 Megas de disco duro y disquetera 3/5 de baja densidad) encendido, y me dormí mirando emocionado aquel letrero ASCII, preguntándome cómo y quién sería capaz de hacer eso con BASIC que era el único lenguaje que conocía y mi única referencia a nivel de programación.

Al día siguiente, después del colegio, con el diccionario VOX escribí la carta más literal y horrible que conseguí en un papel. Luego con RPED (ese editor del MS-DOS) la transcribí a formato digital y la guardé en un disquete. La envié a los LOD, elegí un Nick que me pareció superatractivo, Lex Luthor, ¡como el calvo que quiere matar a Superman! Esos fuéron mis inicios... apasionantes.

La caída en el infierno de la cárcel

Cuando posteriormente se va perdiendo la inocencia también se pierde algo de moral, y aunque me he marcado siempre unos niveles aceptables de qué no estoy dispuesto a hacer ni por todo el oro del mundo, no siempre pude mantenerlos. Por un problema en casa, acepté un trabajo delictivo, no me gusta decir criminal, ya que separo bastante la línea del delito de la del crímen. La mayor “hazaña” de hacking de mi vida es precisamente la que me llevó a prisión, donde he pasado 4 años sin ver a mi familia, donde he perdido a mi padre y se me negó incluso asistir a su funeral (superilegal). En ese tiempo solo he tocado computadoras a conveniencia de las autoridades de la prisión pero eso sí, escoltado cual pelígro bípedo.

No queráis pisar jamás una prisión, se pasa bastante mal y es un reto psicológico que la mayoría no soportan. Algo tocado te quedas para siempre. Mi experiencia, ésta en concreto, debería serviros para aplicaros la máxima de Spiderman... - Un gran poder, conlleva una gran responsabilidad- . Para mí el mundo ya no será nunca igual de hermoso. Solo me queda “mendigar” espacios de expresión desde cierto anonimato, a personas como Chema que no son malignas, son de esa clase de personas que si te ven caer mil veces no se cansan de levantarte.

Hoy trato de llevar una vída sencilla, lejos de la “fama digital”. Sí, de cuando en cuando me vuelvo a poner el traje de supervillano, pero más como homenaje a días pasados, eso sí, cumpliendo las normas del hacking ético. Lo hago para encontrarme con algún superhéroe (como Chema) y estrecharle con afecto y admiración mi mano, pues nunca llegué a despreciar a mis oponentes; seguramente lo más inteligente que he hecho sea escribir este texto (y un par de troyanos en los 90 a los que guardo mucho cariño).

Quiero dejar claro que ni Chema, ni nadie me ha pagado por escribir aquí, lo digo porque hay mucha malicia por el mundo, ni fue él quien me encontró aunque de alguna forma sabía de mí. Otra de las cosas que me he currado bien, es que much@s hackers me han conocido pero cada uno con identidades distintas. He sido un gran camaleón aunque no sé si tan experto en ingeniería social como otr@s dícen que soy.

Algo para acabar con mucha esperanza

Tampoco quiero romper el romanticismo que lleva implícito el hacking con mi paso por la cárcel. Desde luego con ciertas edades es imposible resistirse a fardar ante otr@s de tus habilidades y descubrimientos, especialmente si entre esas personas se encuentra tu primer amor. Pero mejor disfrutad del hacking. Id a todas las conferencias a las que podáis. Se conoce a gente muy interesante y se aprende muchísimo. Si ya estáis en ese punto en el que os sentís capaces de aprender durante el resto de vuestra vida (se llama madurez) sin descanso, entonces es hora de jugar un poco menos a los videojuegos y estudiar todo el tiempo que puedas. Por la noche, escondidos bajo las sábanas linterna en mano. No hay un libro mejor que otro, casi todos tienen sus secretos y si podéis ignorar las interfaces gráficas y cacharrear con PowerShell o las shells *NIX* os aseguro que lo pasaréis bomba.

A día de hoy tengo un empleo normal. No sólo me viene bien para pagar las facturas sino que además me protege. Donde yo vivo soy invisible, nadie de mi entorno sospecha quién he sído ni por asomo. Contados amig@s saben esa parte de mí, y de verdad que disfruto mi nueva vida bastante aunque a veces se torne un poco aburrido.

La red ha cambiado mucho las cosas, por ejemplo GNU/Linux no habría llegado a lo que es hoy sin la red, ni podríamos tratarnos tan íntimamente sin ella. Es nuestra misión cuidarla. Hoy existen gentes (a quienes no llamaré Hackers porque no los considero como tales) que son delincuentes e incluso criminales. No tienen escrúpulos ni el menor conocimiento de la cultura del Hacking y manchan nuestra cibersociedad. Es importante que vosotros renovéis el espíritu original del Hacking. No olvidéis que somos tod@s usuari@s, que la red es también nuestro espacio y que en definitiva, como l@s más avezad@s, somos la primera línea de combate.

Con estas palabras no pretendo crear una biblia del comportamiento Hacker - yo no soy nadie para enseñar qué camino debéis tomar - pero si pudiese empezar otra vez, y viendo mi experiencia desde la barrera, tengo claro que desde luego trataría de elegir un camino distinto. Tod@s tenemos nuestr@s referentes. Yo tengo a Mr. Richard Stallman y sí, a Kevin Mitnick también, aunque el tercer puesto se lo doy a Chema (aunque porte su merecido título de Microsoft XD ).

Espero que este texto pueda ayudar a un@s cuant@s a ver a través de mis ojos y les sirva para evitar vivir uno de los peores caminos. Otra vez gracias a todos y un fuerte saludo de:

Vladimir H4rK0n3N, un viejo pirata... que aún conserva guardada su bandera.


Espero que les haya gustado la historia de mi amigo H4rk0. Gracias a él y a Chema ;)

Fuente: Blog de Chema Alonso

Salu2!!

miércoles, 15 de mayo de 2013

X1RedMasSegura en #directo


El título lo dice todo. Ayer me llevaba la buena noticia de que las ponencias serán retransmitidas en directo así que no solo se limitará a 150 personas los agraciados.

Recuerdo que la jornada está propuesta por los mejores hackers ( legales claro) de España, totalmente gratuita y destinada a gente no experta en el mundo de la informática.

Se trata de X1RedMasSegura en Madrid, donde podremos ver al sensei Chema Alonso, Juan Garrido, Pablo González, etc.

La jornada comienza el viernes 17 a las 16:00 (hora peninsular) y finaliza el sábado a las 14:30 (hora peninsular).

El link de las conferencias en directo es este X1RedMasSegura.

Les dejo la agenda de la misma y ya nos "vemos" por allí ;)





Salu2!!



lunes, 6 de mayo de 2013

Grooming, la nueva amenaza de nuestros hijos


A medida que las tecnologías van avanzando más y más, también evolucionan las malas artes en ellas. Ya hemos hablado de ciberguerras y de ladrones de wifi, pero hoy es el turno del grooming.

El grooming es un tipo de ataque por parte de adultos hacia niños en la red. Estos se hacen pasar por niños de la misma edad para aumentar su confianza y lograr que les manden fotos en bañador e incluso desnudos. Cuando esta persona depravada dispone de material que pueda avergonzar a la víctima, ésta amenaza con mandar las fotos o vídeos a sus amigos y familiares, haciendo que se vea obligado/a a seguir obedeciendo al adulto. Todo se convierte en una bola ya que tarde o temprano sacará todo a la luz, haciendo que la víctima entre en una profunda depresión o incluso se suicide ante tal presión.

Ha habido muchos casos de grooming y uno que me impactó bastante fue el de una chica Canadiense de 15 años que antes de suicidarse subió un video a Youtube para que todos supiesen que había pasado.



Les recomiendo que vean la ponencia de Juan Antonio Calles y Pablo González en la Rootedcon 2013, dos auténticos punteros en la seguridad informática española que colaboran con la policia en busca de estos acosadores.

Que los disfruten.



Un salu2!!