Nadie es como parece.
Uno a veces se mira sangrando en el asfalto, ve pasar la ambulancia y no la llama…y yo que ilusoriamente pensaba que ya sabía absolutamente TODO en la vida de hacking, mujeres, tramas y mafias. Bueno mas o menos, la verdad no tanto. Hay días donde tu pasado y tu presente se juntan y como buen Jedi Digital te pones en código rojo.
Queridos lectores de Hackplayers, hace tiempo que no tenía el placer de escribir en este blog, que sigo diariamente, y para el cual preparaba una entrada muy diferente; sin embargo las circunstancias me orillaron a preparar un post, cuya historia debo seguir en tercera persona, y entonces, quién mejor que yo para contárselas??
Por supuesto, lo primero de todo es agradecer su preciado tiempo, atención y al staff por permitir relatarles lo sucedido, porque la historia en sí, es una historia de temática real (la cual pretendo mezclar con ciertas poses de generalidad para no afectar la privacidad de los personajes), que hasta el momento carece de final feliz o triste, pero como sabrán tiene mucho que ver con los temas que en este espacio son de interés.
Para comenzar a ponerlos en contexto quiero hacer una breve anotación; como sabrán por los posts que he escrito, soy un aficionado más a la seguridad de la información, me gusta mucho todo lo relacionado con ella, y tengo la fortuna de poder trabajar en ello profesionalmente, es una pasión que he adquirido desde mis años universitarios. Ni modo de negarles la cruz de mi parroquia. Toda mi sangre es wanna be IT expert qué quieren que haga.
Entonces, lo que pretendo contarles comenzó en un día laboral al parecer bastante normal y que en pocas palabras jamás podíamos imaginarnos que iba a pasar la monserga que hasta la fecha no tiene respuesta. Les quiero compartir que aunque tengo una formación ingenieril, soy una persona que no subestima la suerte, la sugestión, la superstición, las leyes de Murphy, como ustedes gusten llamarle. Como nota personal (nada que ver con el tema) no han sido unos meses del todo afortunados en varias cuestiones de mi vida privada, sólo que… cual programa de Extranormal (y por allá en España me parece que es algo así como Cuarto Milenio de Iker Jiménez) miren… hace muy poco tiempo, unas 4 semanas, guardé esta imagen de mi shell de Linux, al ejecutar cierto comando picaresco (jamás me había salido esa frase, me llamó mucho la atención). Ahora pienso profundamente… le hubiera hecho mucho más caso.
Enter the shadow realm…
Inexplicable que me dedique a esto de la seguridad, el hacking, las regulaciones, las implementaciones, las certificaciones, si yo jamás he sido bueno para el ajedrez, odio las situaciones en las que hay que atacar y defenderse al mismo tiempo, todo el tiempo.
A lo mejor es porque en ciertas ocasiones me excita la adrenalina, y que las circunstancias pendan de un hilo, para que luego mágicamente tomen otro rumbo, ya sea que se arreglen o terminen de joderse por completo. No me digan que esta área no tiene magia, no sean ingenuos por favor, cualquiera de nosotros sabe que si esa noche, donde vamos a poner a funcionar un API de la cual dependa todo un corporativo, hay luna llena, simplemente el compilador no va a hacer su trabajo como debe. Así de sencillo, así de crítico, así de misterioso.
Mi papel en esta historia, o mi lugar en esto que empiezo a decirles, consiste exactamente en no tener ni lugar, ni papel, ni siquiera sentido. En algún otro post puse la siguiente frase “Confías una dos, tres, diez veces, hasta que claro llega uno y te acuchilla”. Y en verdad no es muy agradable.
Sucede que un día, hace casi un mes aproximadamente, teníamos en activo un proyecto con una empresa considerablemente grande, y por supuesto por la dimensión del asunto se requería del equipo titular completo. El proyecto consistía en varias cosas que detallaré en keypoints (puntos clave para los puritanos), y nuestro papel era ejecutar cada uno de ellos a la brevedad posible y con la máxima calificación (o el mayor éxito para los puritanos):
1) Hardening de toda la red perimetral.- En pocas palabras meterles su red corporativa en un corral de alambres electrificados, y que los cuidara Cerbero en cada una de sus fronteras.
2) Detección de código malicioso a través de: Descompresión; Descifrado, Desempaquetado o desensamblado.- O sea que para cualquier cosa que pasara en su red, lo agarráramos, lo analizáramos y viéramos que no tuviera una ETS.
3) Revisión de código, aplicaciones, servidores, y segmentos para confirmar actividades dañinas o comportamiento peligroso.- En sí, encuerarlos a todos y ver que no tuvieran un coche bomba en sus intestinos.
4) Investigación de procesos fraudulentos y ataques internos y externos.- O sea, si alguien les estaba metiendo goles al por mayor decirles quiénes y cómo.
5) Pruebas de penetración a la red crítica.- Eso quiere decir que, nosotros les íbamos a meter los goles, de manera controlada, pero a partir de ello, quizá les íbamos a poner un portero como Iker Casillas (no Iker Jiménez).
Bueno… el proyecto como pueden notar era considerablemente delicado por los keypoints que íbamos a trabajar. Aunque claro no era algo que con sus debidos cuidados, procesos y NDA’s pertinentes no se pudiera realizar. Como todo.
La verdad no pretendo decirles cómo fue que empezamos a llevarlo a cabo, porque sinceramente no es relevante en este asunto. Mejor les diré cómo empezamos a ya no llevarlo a cabo, y por qué. Eso es lo relevante en la historia, y lo que nos tiene en ascuas.
El problema con los problemas es que crecen y traen al mundo problemitas.
Les comenté que para un proyecto así se requería del equipo titular completo no? Y si. Nos mandaron a toda la bola de coatlicue-geeks por experiencia y convicción a revolcarnos en bits bytes, red bulls, comida chatarra, y en general al ambiente de LAN party que nos esperaba ahí metidos en los lugares donde debíamos clickear “Siguiente à Siguiente à Aceptar” y ya, listo.
En fin, qué les puedo yo contar de esa clase de personas con ese tipo de trabajitos, que ustedes no sepan? Dudo que entre tanto geek y maleante sea posible distinguirme a mí, que al cabo elegí ser nerd inconsecuente. Uno los ve a todos como sus iguales, sus fella’s, camaradas, inge’s, etc. Sin embargo, tal cual, uno de ellos para nuestra muy malísima fortuna, le sobraron ganas para elegir las 30 monedas de plata, en lugar de nosotros.
¿Por qué razón estoy trayendo un Judas a la historia?, ¿Cuál es el motivo? ¿De dónde puedo mezclar dos conceptos hacking-Judas para tenerlos en una misma historia y que mi relato no roce la locura? ¿Qué clase de razón, por torcida que fuera, podría convertir a una mujer en niña, a la niña en Ingeniera y a la ingeniera en cucaracha?
Como ya me gustó utilizar la palabra keypoints, porque siento resume muy bien todo, se los pondré en keypoints, ya luego ahondaré un poco en los keypoints, no mucho la verdad:
- Una de las niñas de nuestro equipo de trabajo, se le ocurrió empezar a hacer el pentesting sin avisarnos, como no nos avisó no sabíamos que ya se estaba ejecutando la prueba. Y por obvias razones de confianza y empowerment no se le preguntaba de algo que en sí no estaba en planes de hacerse, todavía.
- El Pentesting se iba a realizar hasta el final, para hacer todo el hardening. Nadie del equipo de nuestro cliente, nos informó de las actividades de esta niña. Lo cual también es raro si me permiten la aclaración, porque jamás nos dejaban solos y sabían que el pentest se haría hasta el último. Anyway.
- Ustedes saben que en el pentesting se saca muchísima información de la empresa, los activos, los talones de Aquiles, en materia de Seguridad TI, todo no? Ahora imagínense si nos dejan hacer un Pentesting de Caja Blanca desde adentro de la organización. Recuento de los daños (aquí van unos subkeypoints)
o Extracción de información altamente crítica en los servidores de la Red Interna.
o Extracción de cuentas personales de la empresa y contraseñas del personal.
o Override de configuración de equipos perimetrales: Firewalls, IPS, routers fronteras, para habilitar un usuario root desde la red pública con permisos de nivel 7.
o Y nada más para no dejar, un malwersito por ahí que reiniciaba las máquinas, tipo Sasser. Ah claro la consola de Antivirus, bye bye darling.
o Como ven? Sexy no?
Y qué creen que paso con nosotros y con ella? Bueno a simple vista parece bastante obvio en primer lugar quién fue la culpable ( y si lo es). Es verdaderamente increíble porque no es posible imaginárselo, anticiparse. Cada que la veía hablando con su inglés mocho, se me figuraba a un lanchero con el pelo oxigenado y la gringota junto, no sentía que tenía el perfil para realizar semejante masacre.
*** Como artículo complementario a esta historia me gustaría compartir este enlace interesante “Greenhats sustituyen a BlackHats” http://www.thoughtcrime.org/blog/saudi-surveillance/ (le toca a algunos vivir del lado chueco, es una maldición que ni el dinero alcanza para quitarte)***
Yo digo que uno nunca le confiesa al padre los pecados que piensa cometer. “Me acuso, padre, de que el año que entra voy a masacrar una red completa”. Y como no se puede vivir siempre en desequilibrio, de pronto hay que inventarse una ruleta rusa que desarme la realidad de cada persona.
Y repito, qué creen que pasó con ella y con nosotros? Después de unas largas semanas, con que se aclaraban los hechos, por supuesto una demanda para no variar, y de saber el perfil criminal que ahora ya tiene nuestra querida excompañera, ya estamos entrando en un cauce un poco más tranquilo, sin saber de ella obvio, ni bien a bien cómo lo hizo. A nosotros claro nos habían vetado/intervenido redes sociales y celular de la compañía, protocolario el bussiness, investigado nuestra relación con ella y toda la onda por obvias razones. No hubo más, debo decir al respecto, y no hay más que decir de lo que sepa, ya la buscan. Sin embargo, desde mi perspectiva hasta ahora ha sido (para ella). Victoria completa: la red comprometida, los datos ganados, y el enemigo (y los “amigos”) destruidos.
Happy Hacking…
Uno a veces se mira sangrando en el asfalto, ve pasar la ambulancia y no la llama…y yo que ilusoriamente pensaba que ya sabía absolutamente TODO en la vida de hacking, mujeres, tramas y mafias. Bueno mas o menos, la verdad no tanto. Hay días donde tu pasado y tu presente se juntan y como buen Jedi Digital te pones en código rojo.
Queridos lectores de Hackplayers, hace tiempo que no tenía el placer de escribir en este blog, que sigo diariamente, y para el cual preparaba una entrada muy diferente; sin embargo las circunstancias me orillaron a preparar un post, cuya historia debo seguir en tercera persona, y entonces, quién mejor que yo para contárselas??
Por supuesto, lo primero de todo es agradecer su preciado tiempo, atención y al staff por permitir relatarles lo sucedido, porque la historia en sí, es una historia de temática real (la cual pretendo mezclar con ciertas poses de generalidad para no afectar la privacidad de los personajes), que hasta el momento carece de final feliz o triste, pero como sabrán tiene mucho que ver con los temas que en este espacio son de interés.
Para comenzar a ponerlos en contexto quiero hacer una breve anotación; como sabrán por los posts que he escrito, soy un aficionado más a la seguridad de la información, me gusta mucho todo lo relacionado con ella, y tengo la fortuna de poder trabajar en ello profesionalmente, es una pasión que he adquirido desde mis años universitarios. Ni modo de negarles la cruz de mi parroquia. Toda mi sangre es wanna be IT expert qué quieren que haga.
Entonces, lo que pretendo contarles comenzó en un día laboral al parecer bastante normal y que en pocas palabras jamás podíamos imaginarnos que iba a pasar la monserga que hasta la fecha no tiene respuesta. Les quiero compartir que aunque tengo una formación ingenieril, soy una persona que no subestima la suerte, la sugestión, la superstición, las leyes de Murphy, como ustedes gusten llamarle. Como nota personal (nada que ver con el tema) no han sido unos meses del todo afortunados en varias cuestiones de mi vida privada, sólo que… cual programa de Extranormal (y por allá en España me parece que es algo así como Cuarto Milenio de Iker Jiménez) miren… hace muy poco tiempo, unas 4 semanas, guardé esta imagen de mi shell de Linux, al ejecutar cierto comando picaresco (jamás me había salido esa frase, me llamó mucho la atención). Ahora pienso profundamente… le hubiera hecho mucho más caso.
Han utilizado el comando fortune de Linux? Como las pitonisas griegas, creepy |
Enter the shadow realm…
Inexplicable que me dedique a esto de la seguridad, el hacking, las regulaciones, las implementaciones, las certificaciones, si yo jamás he sido bueno para el ajedrez, odio las situaciones en las que hay que atacar y defenderse al mismo tiempo, todo el tiempo.
A lo mejor es porque en ciertas ocasiones me excita la adrenalina, y que las circunstancias pendan de un hilo, para que luego mágicamente tomen otro rumbo, ya sea que se arreglen o terminen de joderse por completo. No me digan que esta área no tiene magia, no sean ingenuos por favor, cualquiera de nosotros sabe que si esa noche, donde vamos a poner a funcionar un API de la cual dependa todo un corporativo, hay luna llena, simplemente el compilador no va a hacer su trabajo como debe. Así de sencillo, así de crítico, así de misterioso.
Mi papel en esta historia, o mi lugar en esto que empiezo a decirles, consiste exactamente en no tener ni lugar, ni papel, ni siquiera sentido. En algún otro post puse la siguiente frase “Confías una dos, tres, diez veces, hasta que claro llega uno y te acuchilla”. Y en verdad no es muy agradable.
Sucede que un día, hace casi un mes aproximadamente, teníamos en activo un proyecto con una empresa considerablemente grande, y por supuesto por la dimensión del asunto se requería del equipo titular completo. El proyecto consistía en varias cosas que detallaré en keypoints (puntos clave para los puritanos), y nuestro papel era ejecutar cada uno de ellos a la brevedad posible y con la máxima calificación (o el mayor éxito para los puritanos):
1) Hardening de toda la red perimetral.- En pocas palabras meterles su red corporativa en un corral de alambres electrificados, y que los cuidara Cerbero en cada una de sus fronteras.
2) Detección de código malicioso a través de: Descompresión; Descifrado, Desempaquetado o desensamblado.- O sea que para cualquier cosa que pasara en su red, lo agarráramos, lo analizáramos y viéramos que no tuviera una ETS.
3) Revisión de código, aplicaciones, servidores, y segmentos para confirmar actividades dañinas o comportamiento peligroso.- En sí, encuerarlos a todos y ver que no tuvieran un coche bomba en sus intestinos.
4) Investigación de procesos fraudulentos y ataques internos y externos.- O sea, si alguien les estaba metiendo goles al por mayor decirles quiénes y cómo.
5) Pruebas de penetración a la red crítica.- Eso quiere decir que, nosotros les íbamos a meter los goles, de manera controlada, pero a partir de ello, quizá les íbamos a poner un portero como Iker Casillas (no Iker Jiménez).
Bueno… el proyecto como pueden notar era considerablemente delicado por los keypoints que íbamos a trabajar. Aunque claro no era algo que con sus debidos cuidados, procesos y NDA’s pertinentes no se pudiera realizar. Como todo.
La verdad no pretendo decirles cómo fue que empezamos a llevarlo a cabo, porque sinceramente no es relevante en este asunto. Mejor les diré cómo empezamos a ya no llevarlo a cabo, y por qué. Eso es lo relevante en la historia, y lo que nos tiene en ascuas.
El problema con los problemas es que crecen y traen al mundo problemitas.
Les comenté que para un proyecto así se requería del equipo titular completo no? Y si. Nos mandaron a toda la bola de coatlicue-geeks por experiencia y convicción a revolcarnos en bits bytes, red bulls, comida chatarra, y en general al ambiente de LAN party que nos esperaba ahí metidos en los lugares donde debíamos clickear “Siguiente à Siguiente à Aceptar” y ya, listo.
En fin, qué les puedo yo contar de esa clase de personas con ese tipo de trabajitos, que ustedes no sepan? Dudo que entre tanto geek y maleante sea posible distinguirme a mí, que al cabo elegí ser nerd inconsecuente. Uno los ve a todos como sus iguales, sus fella’s, camaradas, inge’s, etc. Sin embargo, tal cual, uno de ellos para nuestra muy malísima fortuna, le sobraron ganas para elegir las 30 monedas de plata, en lugar de nosotros.
¿Por qué razón estoy trayendo un Judas a la historia?, ¿Cuál es el motivo? ¿De dónde puedo mezclar dos conceptos hacking-Judas para tenerlos en una misma historia y que mi relato no roce la locura? ¿Qué clase de razón, por torcida que fuera, podría convertir a una mujer en niña, a la niña en Ingeniera y a la ingeniera en cucaracha?
Como ya me gustó utilizar la palabra keypoints, porque siento resume muy bien todo, se los pondré en keypoints, ya luego ahondaré un poco en los keypoints, no mucho la verdad:
- Una de las niñas de nuestro equipo de trabajo, se le ocurrió empezar a hacer el pentesting sin avisarnos, como no nos avisó no sabíamos que ya se estaba ejecutando la prueba. Y por obvias razones de confianza y empowerment no se le preguntaba de algo que en sí no estaba en planes de hacerse, todavía.
- El Pentesting se iba a realizar hasta el final, para hacer todo el hardening. Nadie del equipo de nuestro cliente, nos informó de las actividades de esta niña. Lo cual también es raro si me permiten la aclaración, porque jamás nos dejaban solos y sabían que el pentest se haría hasta el último. Anyway.
- Ustedes saben que en el pentesting se saca muchísima información de la empresa, los activos, los talones de Aquiles, en materia de Seguridad TI, todo no? Ahora imagínense si nos dejan hacer un Pentesting de Caja Blanca desde adentro de la organización. Recuento de los daños (aquí van unos subkeypoints)
o Extracción de información altamente crítica en los servidores de la Red Interna.
o Extracción de cuentas personales de la empresa y contraseñas del personal.
o Override de configuración de equipos perimetrales: Firewalls, IPS, routers fronteras, para habilitar un usuario root desde la red pública con permisos de nivel 7.
o Y nada más para no dejar, un malwersito por ahí que reiniciaba las máquinas, tipo Sasser. Ah claro la consola de Antivirus, bye bye darling.
o Como ven? Sexy no?
Y qué creen que paso con nosotros y con ella? Bueno a simple vista parece bastante obvio en primer lugar quién fue la culpable ( y si lo es). Es verdaderamente increíble porque no es posible imaginárselo, anticiparse. Cada que la veía hablando con su inglés mocho, se me figuraba a un lanchero con el pelo oxigenado y la gringota junto, no sentía que tenía el perfil para realizar semejante masacre.
*** Como artículo complementario a esta historia me gustaría compartir este enlace interesante “Greenhats sustituyen a BlackHats” http://www.thoughtcrime.org/blog/saudi-surveillance/ (le toca a algunos vivir del lado chueco, es una maldición que ni el dinero alcanza para quitarte)***
Yo digo que uno nunca le confiesa al padre los pecados que piensa cometer. “Me acuso, padre, de que el año que entra voy a masacrar una red completa”. Y como no se puede vivir siempre en desequilibrio, de pronto hay que inventarse una ruleta rusa que desarme la realidad de cada persona.
Y repito, qué creen que pasó con ella y con nosotros? Después de unas largas semanas, con que se aclaraban los hechos, por supuesto una demanda para no variar, y de saber el perfil criminal que ahora ya tiene nuestra querida excompañera, ya estamos entrando en un cauce un poco más tranquilo, sin saber de ella obvio, ni bien a bien cómo lo hizo. A nosotros claro nos habían vetado/intervenido redes sociales y celular de la compañía, protocolario el bussiness, investigado nuestra relación con ella y toda la onda por obvias razones. No hubo más, debo decir al respecto, y no hay más que decir de lo que sepa, ya la buscan. Sin embargo, desde mi perspectiva hasta ahora ha sido (para ella). Victoria completa: la red comprometida, los datos ganados, y el enemigo (y los “amigos”) destruidos.
Happy Hacking…
Como opinión personal, procura no escribir tan enrevesado, al final dificulta la lectura y es mas complicado entenderlo.
ResponderEliminarMuy interesante el articulo, pero hay cosas que no entiendo:
ResponderEliminar¿metisteis a una persona nueva en el equipo o llevaba tiempo trabajando con vosotros?
Si era nueva.. ¿no la "monitorizabais"? ¿como pudo entrar hasta "la cocina" sin que nadie se diera cuenta?
Un saludo.
Tengo la misma duda que Anonimo... La mina era de tu equipo?? Hacia mucho tiempo que trabajaba? Daba para ser una "persona titular" del equipo (osea los top top) ?
ResponderEliminarYo la verdad tengo una duda más general, estaba guapetona la niña o estaba fea?... digo eso de güera oxigenada me sabe a qué los ataco con ing social y encantos :D
ResponderEliminarcomo es que llego hasta ahi? si era el equipo top, como mencionas, debe haer trabajado algun tiempo con ustedes; como decimos por aca, se las dejo ir doblada y la extendio adentro
ResponderEliminarDisculpen la tardanza en mi respuesta a sus comments:
ResponderEliminar1) tratare de redactar mas planito. De repente me dan ataques de Shakespeare ;)
2, 3 y 5) si ya llevaba tiempo, en realidad no la monitoreaba nadie porque era parte de un equipo y se supone hay confianza...claro...lo raro es que el cliente si lo hacia, exactamente nos dejo ir la vara alta una vez ensartada. Se supone que esta en investigacion aun el modus operandi y que onda con quien la cuidaba.
4) no creo que haya aplicado encantos...no de esos encantos feminos. No se le daba creeme,