-[ 0x06 ]-------------------------------------------------------------------- -[ Anonimato: Fantasmas en la Red ]------------------------------------------ -[ by blackngel ]----------------------------------------------------SET-38-- ^^ *`* @@ *`* HACK THE WORLD * *--* * ## || * * * * (C) Copyleft 2009 everybody _* *_ ---[ CONTENIDOS 1 - Introduccion 2 - Teoria del Anonimato 2.1 - Concepto de Ocultacion 2.2 - Concepto de Suplantacion 2.2.1 - Falsificacion de Documentos 2.2.2 - Confusion 2.3 - Ocultacion vs Suplantacion 2.4 - Concepto de Superposicion 3 - Las Armas Sociales del Anonimo 3.1 - Cuida Tus Amistades 3.2 - El Arte: Ingenieria Social 3.3 - Nickname: Carta de Presentacion 3.4 - Mentalidad y Habilidades 4 - Las Armas Tecnologicas del Anonimo 4.1 - Comunicaciones Anonimas 4.1.1 - Utilizar un Terminal Limpio 4.1.2 - FreeNet, TOR y otros... 4.2 - Critografia vs Esteganografia 4.2.1 - Denegabilidad Plausible 4.3 - Anti-Fingerprinting 4.4 - Simulacion de Ataque 4.5 - Practicas Anti-Forense 4.5.1 - Acercamiento a la Teoria Forense 4.5.2 - Ocultamiento de Informacion 4.5.3 - Explotacion: No Dejar Rastro 4.5.3.1 - Aqui No Ha Pasado Nada 4.5.3.2 - Yo No He Estado Aqui 4.5.4 - Luchar Contra los Logs 4.5.5 - Tecnicas de Borrado Seguro 4.5.5.1 - Acciones de Ultima Hora 5 - Miscelanea 5.1 - Magia y Misdirection 6 - A Traves de la Bola de Cristal 7 - Consideraciones Finales 8 - Referencias ---[ FIN CONTENIDOS << - Por favor, me puede decir por donde debo ir? - Eso depende de adonde quiera usted ir. >> [ Lewis Carroll ] ---[ 1 - Introduccion La realidad es que la idea de este articulo nace a partir de largas y profundas reflexiones sobre el articulo de Duvel, "A brief history of the Underground scene" [1]. Desde un principio pense que ese documento requeriria una lectura entre lineas para comprender y extraer los conceptos fundamentales. Pero desde ese mismo principio la vision del hacking de TCLH sale a la luz en cada parrafo, en cada frase, y todo ello revela una mentalidad perdida, una actitud de hacker olvidada. Es complicado catalogar el articulo que ahora mismo tienes entre tus manos. No es desde luego un articulo tecnico, ni tampoco lo que se prodria llamar un "spirit oriented", pero si es un articulo orientado a recuperar el espiritu, a recuperar la mentalidad del hacker de la vieja escuela cuya curiosidad podia meterlo en serios problemas. Este articulo es un viaje a traves de la historia del anonimato, de las tecnicas utilizadas en el presente, y de todo aquello que estara por venir en un futuro. Tambien es un intento por demostrar que alguien que puede escribir un articulo tecnico puede regresar al mas puro estilo teorico, filosofico y social. Tras un tiempo revisando todos los articulos de Phrack, me di cuenta de un aspecto muy interesante, y el resultado es que hasta la actualidad jamas se ha publicado un articulo que tratara en profundidad y en todos sus detalles los principios del anonimato en la red de redes. Pero esto no es lo mas sorprendente, sino que existe toda una teoria del anonimato oculta y/o dispersa en una ingente cantidad de articulos de todos los que he revisado. Y aqui mi objetivo principal, reunir todas ese material en un mismo lugar, aportando nuevas ideas y provocando en el lector la necesidad de recuperar la pasion por leer todos aquellos articulos antiguos que hoy en dia se consideran "pasados de moda" y que, opuestamente a las creencias, todavia tienen algo que aportar al Underground. Este articulo no es acerca de lamers, ni de script-kiddies, ni acerca de lo que Duvel dijo: "Improving your hacking skills", pero ello es acerca de dar a las nuevas generaciones unas bases solidas para evitar ser cazados cuando ellos desarrollen sus "hacking skills". Por todos estos motivos, y por muchos mas... este documento es para ti. << Un hombre inteligente comienza por el final. Un idiota comienza por el principio. >> [ Proverbio ] ---[ 2 - Teoria del Anonimato Como siempre, debemos empezar bajo una definicion formal, tenemos segun la Wikipedia que: "El anonimato es el estado de una persona siendo anónima, es decir, que la identidad de dicha persona es desconocida". El objetivo del anonimato es normalmente alcanzado por dos caminos. El primero claramente basado en la ocultacion: no dejar huellas, no dejar rastro y utilizar los medios necesarios para que esto se cumpla. La segunda via es la suplantacion, en la que uno no pierde su tiempo en esconderse del mundo, sino mas bien en crearse una identidad nueva, sea esta una ya existente que se procura emular, o una complemente nueva ideada y estudiada al detalle. Ambos metodos seran analizados detalladamente en subsiguientes secciones observando asi sus ventajas y desventajas. Durante el transcurso de este articulo haremos referencia a un personaje especial al que denominaremos como: "El Anonimo". Esta entidad nos servira de guia para establecer el comportamiento y forma de actuar del experto hacker que desea mantenerse alejado de miradas indiscretas. << Cuando tire usted chinas al agua, fijese en las ondas que describen. De otro modo, tirar chinas seria un pasatiempo sin sentido. >> [ Kozma Prutkov ] ---[ 2.1 - Conceptos de Ocultacion Desgraciadamente, creo existe una etapa por la que pasan muchos hackers en la que es conocido entre su grupo como "el que entiende de ordenadores" o "el friki/genio de los ordenadores". Si este es tu caso, no pienses que de un dia para otro podras borrarte esa fama e intentar hacer pensar a aquellos que te rodean que jamas te has interesado en el tema. Si este no es tu caso, y has sido listo manteniendo en secreto tu aficion, entonces te encuentras en el camino correcto. Obviamente El Anonimo vive en dos mundos distintos, el primero de ellos vinculado a la sociedad diaria (su trabajo, sus estudios, sus hobbies, su gente y su familia). Pero en el otro lado esta el mundo de los ordenadores y las redes, de los hackers y los gurus de la informatica, de los programadores y exploiters y de toda esa subcultura underground que todos conocemos (y de la que aun queda mucho por explorar). Si, El Anonimo vive en dos mundos, pero ante la gente se comporta de tal forma como si solo fuera uno. Para ello normalmente utiliza cohartadas cuando se tira una semana entera encerrado en su casa programando una nueva herramienta. Sea como fuere, hay una premisa que nunca falla: "Jamas digas a nadie que eres un hacker, y menos a tu novia". Debes ser consciente que muchos de los "auto-proclamados" hackers han caido en manos de la ley debido a confesiones de sus parejas acerca de sus actos ilicitos. Presumir no es buena idea, te lo aseguro, puedes pensar que eres un hacha, pero ser hacker no hara que consigas una femme fatal, lo faltal vendra cuando los cuerpos de seguridad presionen a tu chica para que diga todas tus fechorias. En resumidas cuentas, comportate normalmente y no demuestres mas interes del suficiente ante los problemas de tus amigos con sus ordenadores. Si te llevas un portatil contigo a algun lado, no tengas a la vista ninguna aplicacion extraña instalada (lo mejor es que tu escritorio este lleno de juegos). Tener dos particiones con Windows y Linux tampoco es mala idea, ya sabes en cual de los dos debes tener tus herramientas, aunque recuerda que si alguien ve aparecer al inicio un gestor de arranque como grub o lilo podria resultar algo extravagante. << Los errores estan todos ahi, esperando a ser cometidos. >> [ Tartakower ] ---[ 2.2 - Conceptos de Suplantacion Tanto los Sistemas Operativos como Internet (y sus protocolos) han sido construidos incluyendo metodos que se encargan de grabar practicamente todo lo que sucede en su interior. Ahora... nadie ha dicho que esos datos que van a ser grabados no puedan alterarse, de tal forma que podemos decir con casi toda seguridad que la informatica proporciona la capacidad de elegir el rastro que se quiere dejar... Segun mi parecer, suplatantar la identidad de otra persona (a pesar de ser ilegal), es sin duda un metodo mucho mas efectivo que intentar ocultar tus actos. Ya hemos dicho que "todo?" queda registrado, y esto no se puede evitar. Siendo esto asi, si podemos engañar a otros para que piensen que el sujeto que deja el rastro es otro, y no nosotros, entonces podremos cubrirnos las espaldas. Que requisitos son necesarios para suplantar la identidad de alguien? Todos! Necesitas saber... - Que medios utiliza habitualmente para comunicarse. - Que expresiones y estilo utiliza cuando escribe. - Que nick(s) o alias utiliza en la red. - Si se conecta a traves de un router o no. - Que direcciones IP se relacionan con el. - En que horas frecuenta o mantiene acceso a la red. - Todo lo que sea posible... Hay un problema inherente a la suplantacion de identidad, y es que aquel que la suplanta deberia tener un especial cuidado con "el don de la ubicuidad". Es decir, los seres humanos no somos omnipresentes, y por lo tanto no podemos estar en dos sitios distintos (o mas) al mismo tiempo. Que quiero decir con todo esto? Pues que si tanto el suplantado como el suplantador dejan un rastro en dos lugares distintos a un mismo tiempo, esto llamara la atencion, y es sintoma de que algo anomalo esta ocurriendo. << La vida no se mide por las veces que respiras, sino por los momentos que te dejan sin aliento. >> [ Hitch ] ---[ 2.2.1 - Falsificacion de Documentos Este apartado deberia ir dentro de la seccion "Las Armas Sociales del Anonimo", pero debido a su estrecha relacion con la idea que implica la suplantacion, ha sido puesto aqui deliberadamente. El Anonimo perfecto deberia serlo tanto dentro de la red como fuera de ella. Algunos siempre dicen: "Phrack es una revista de Hacking y Phreaking" (lo segundo casi desaparecido a dia de hoy). Pero algunos deberian echar un vistazo nuevamente a los primeros numeros publicados. Mas que fijarnos en la creacion de "Bombas de Acetileno" y "Homemade Guns", lo que atrae nuestras miradas son articulos como "False Identification" [2] by Forest Ranger en la revista numero 4 o "Social Security Number Formatting" [3] by Shooting Shark en la 19. Suponiendo que uno disponga de los medios suficientes (normalmente amigos con acceso interno) para crear documentos falsos, El Anonimo debe decidir nuevamente si crearse una nueva personalidad o suplantar la de otro ya existente. Falsificar documentos no implica solamente crear un nuevo carnet de conducir o algo por el estilo, sino tambien tarjetas de identificacion y acceso de instalaciones publicas y recintos restringidos. A medida que el tiempo pase y la cultura digital se vaya integrando de una forma mas completa en la sociedad, las tareas del Anonimo con respecto a este punto pasaran a ser (como asi esta sucediendo) la falsificacion de certificados digitales, un mayor avance en colisones sobre algoritmos de hashing y, como no, nuevas tecnicas de spoofing y hijacking. << El error es inherente al ser humano. Lo importante es no sobrepasar la cuota diaria. >> [ John Nigro ] ---[ 2.2.2 - Confusion Este punto tiene mucho que ver con lo descrito en el apartado (3.4). De forma paradojica, la presencia de El Anonimo es inevitable, y ante esto El Anonimo reacciona creando la maxima confusion posible. Particularmente esto implica dejar nombres y datos falsos en los lugares y momentos menos esperados, asi como cabeceras de respuestas a correos electronicos, datos de contacto de un webmaster, firmas casuales y un largo etc... Pero esta confusion no debe ser advertida por los demas, esto quiere decir que "confusion" no es igual a "misterio" ya que solo provocaria interes, y El Anonimo intenta por todos los medios apartar de si todas las miradas. << ...pronto no se necesitará un computadora para acceder a la Red , estarán los asistentes personales, la TV , los relojes inteligentes y otros. >> [Matt Stein ] ---[ 2.3 - Ocultacion vs Suplantacion Hasta este punto ha quedado claro que mi preferencia es la suplantacion contra la ocultacion, aunque este no es un punto de vista totalmente acertado. El truco esta en saber hacer un uso correcto de las dos en conjunto. Esto es, ocultar todo aquello que se pueda, y en lo que no, hacer creer que ha sido hecho por otro. La ocultacion es como jugar al gato y al raton, uno intenta escapar mientras que el otro lo persigue. En ciertas ocasiones se puede asumir mucho riesgo y por eso el hacker debe saber jugar bien sus cartas e intercambiar estas dos estrategias en el momento oportuno. << Todo programa hace algo perfectamente bien, aunque no sea exactamente lo que nosotros queremos que haga. >> [ R.S. Pressmann ] ---[ 2.4 - Concepto de Superposicion Este es uno de los ultimos conceptos que yo tengo en mente. Todo quedara mas claro si pensamos en los gobiernos. Los gobiernos ocultan cosas, eso es ineludible. Existen secretos de estado, informacion clasificada, y profundamente creo que todavia existen secretos que permanecen incluso a un nivel superior a los gobiernos. Hablo de corporaciones fantasma. Alli donde hay dinero, hay poder, y eso es un arma letal para el pueblo, que como siempre se mantiene ignorante a la realidad del mundo que le rodea. Realicemos una pregunta: Como esconder algo que sabemos es imposible que pase desapercibido? La respuesta y la solucion se encuentra en la superposicion, literalmente poner una cosa encima de otra. Basicamente se trata de utilizar un senyuelo . Crear exactamente la misma cosa que deseamos esconder pero que una vez descubierta no comprometa nuestro secreto original. Si yo fuera un gobierno, si yo fuera el FBI, la NSA o la CIA, y mi deseo fuera crear una red secreta por la cual pueda circular de forma segura informacion con caracter clasificado... seguramente yo crearia SIPRNET, es decir, una distraccion muy apetitosa que apartaria la vista de aquello que con tanto celo deseo ocultar. Por que otro motivo sino se filtraria esta clase de informacion? Del mismo modo yo crearia el Area 51, y mantendria a todo el mundo lo suficientemente ocupado investigando un secreto inexistente, mientras guardo lo que realmente importa en otro lugar desconocido. Mi intencion no es crear o difundir teorias conspiratorias, sino hacer ver de forma clara y concisa el modo correcto en que debe actuar El Anonimo y en el que debe comprender el mundo que le rodea. << El arte de persuadir consite tanto en el de agradar como en de convencer; ya que los hombres se gobiernan mas por el capricho que por la razon. >> [ Blas Pascal ] ---[ 3 - Las Armas Sociales del Anonimo Es sabido que las armas principales del hacker son sus habilidades y conocimientos, esto esta claro. Pero como persona, el hacker no puede ni debe evitar el mundo que le rodea, lo que si puede es controlarlo o al menos manipularlo sutilmente en beneficio propio. Veremos alguna vez un articulo cuyo titulo sea "Hack The World for Fun and Proflt"? A continuacion veremos algunos de los aspectos que El Anonimo deberia tener presentes en la vida cotidiana antes de andentrarse en el mundo de los bits. << Por cada error que se le atribuye a una PC siempre se encuentran al menos dos errores humanos: el de culpar a la PC y el de confiar en ella. >> [ PC Users ] ---[ 3.1 - Cuida Tus Amistades Ya sea en la vida real o como cibernautas, el hacker crea afinidad y mantiene relaciones sociales con individuos de lo mas variopinto. Como ya mencionamos anteriormente, no es buena idea relatar nuestra aficion, lo que es mas, quizas sea el momento perfecto para ir construyendo nuestra falsa identidad. Es no obstante en ciertos circulos donde el hacker no podra cubrir sus actos, son estos donde se producen los movimientos de informacion, bugs de ultima hora, tecnicas innovadoras, fallos de protocolo que todavia no han salido a la luz y otros... En este mundo en el que todo se mueve alrededor del dinero y el interes, uno debe saber firmemente en quien puede confiar y quien no. Lo siguiente es interesante. En una excelente biografia sobre el Che Guevara se puede leer: "En el inicio de una doble vida, evitaba los contactos con personas que no fueran de su entera confianza. Advertia insitentemente a Hilda que fuera cauta con sus amistades a fin de no revelar su participacion en el movimiento rebelde..." Esto mismo se puede aplicar a El Anonimo, toda precaucion es poca, y la experiencia nos avisa que la ley esta acostumbrada a introducirse en los lugares menos esperados con el fin de cazarte con las manos en la masa. En resumen: - No hables de mas, comunica lo justo. - No frecuentes el mismo lugar durante mucho tiempo. - Sospecha cuando alguien nuevo se incorpore al circulo. - En lo posible evita a intermediarios. << No confíes en una PC que no puedas tirar por la ventana. >> [ Steve Wozniak ] ---[ 3.2 - El Arte: Ingenieria Social Existen muchas explicaciones para este termino. A mi me gusta definir la Ingenieria Social como el arte que posee una persona para obtener algun/os beneficio/s de otra/s persona/s sin que esta ultima sea realmente consciente de ello. Hablar de Ingenieria Social es hablar obviamente de Kevin Mitnick, que como ocurre con Nach Scrach (un rapero español), tambien podria denominarsele como "Un Mago de la Palabra". Sus aportaciones mas importantes han estado en la historia de su vida, y aquellos que la conozcan podran disfrutar de fuertes dosis de increibles azañas. Para los demas, junto con otros amigos y colegas de la profesion ha publicado unos cuantos trabajos relativos al tema, entre los cuales se encuentra las dos aportaciones mas grandes: - El Arte de la Intrusion (The Art of Intrusion). - El Arte del Enga~o (The Art of Deception). Referencia obligada para aquellos quienes deseen aprender de los ejemplos que en un pasado ocurrieron en la vida real, y que, como no, en el caso de acabar mal, siempre pueden volver a estudiarse y revisarse para mejorar dichos metodos. La Ingenieria Social es el mejor arma que puede portar "El Anonimo". Con ella puede obtener informacion que de otro modo no podria, acceder a lugares que de otra forma serian inaccesibles, utilizar su falsa identidad dentro de un grupo de individuos, utilizar a estos ultimos para crear falsos complices, incluso en casos extremos para crear falsos culpables (alguno ya habra visto u oido que el crimen perfecto no es el que queda sin resolver, sino el que se resuelve con un falso culpable). Creo que sobran los razonamientos para que su uso, practica y estudio sea una tarea a desarrollar desde las edades mas tempranas. << ...aquella masa de solidificada razón de dieciseis kilometros de longitud, a la que los hombres llamaban Multivac, el más complejo ordenador jamas construido. >> [ Isaac Asimov ] ---[ 3.3 - Nickname: Carta de Presentacion Todo aquel interesado en el desarrollo de Linux habra leido alguna vez interesantes articulos como "La Catedral y el Bazar" o "Cultivando la Noosfera" del archi-conocido fundador del movimiento Open Source, Eric S. Raymond. Para los que esto no sea asi, quizas les suene mas el "Jargon File" y quizas para otros el "Hacker HowTo" [4]. Es este ultimo el que a nosotros nos interesa, en especial cuando menciona lo siguiente: * No uses un nombre de usuario tonto o grandioso. << Ocultar tu identidad detras de un apodo es un comportamiento infantil y tonto que es caracteri­stico de los crackers, warez d00dz, y otras formas inferiores de vida. Los hackers no hacen eso; ellos estan orgullosos de lo que hacen y lo quieren asociado con sus nombres reales. Asi que si tienes un nombre de estos, abandonalo. En la cultura hacker solo serviran para marcarte como un perdedor. >> Hasta donde yo entiendo, esto quiere decir que todas aquellas personas que han escrito en Phrack son infantiles, crackers, formas inferiores de vida y estan marcados en la cultura hacker como perdedores. Desafortunadamente no estamos de acuerdo con esta descripcion. Durante toda nuestra vida la gente nos ha apodado de diferentes formas una infinidad de veces, y esto no define nuestra filosofia ante la vida, nuestras habilidades, ni tan siquiera nuestra etica frente al hacking. Del mismo modo que algunos autores utilizan pseudonimos para escribir sus libros, todo el mundo es libre de adoptar un nombre con el cual presentarse dentro de la subcultura Underground. Al contrario de lo que piensa Raymond, esto nos hace desinteresados, huidizos de esa puta llamada "fama", y logra el objetivo principal de que se nos juzgue por nuestras cualidades. Si, yo estoy orgulloso de lo que hago, pero ello no tiene nada que ver con mi nombre real. Pero un nickname, del mismo modo que un nombre real, es una marca de identificacion, y llevarla contigo mucho tiempo puede acarrearte muchos problemas. Todo el mundo sabe que no fue demasiado dificil asociar a Knight Lightning con Craig Neidorf. Acaso no sabes el nombre real de Emmanuel Goldstein? Todo esto no quiere decir que debas firmar todas tus obras como "anonimo", eso es mas parecido a "venid a buscarme". La solucion pasa por cambiar de nick con la misma frecuencia que cambias de contraseñas (si tienes una politica correcta), la solucion pasa por convertirse en "el fantasma de la red", por ser todas las personalidades y al mismo tiempo no ser ninguna de ellas. << Todavia hay mucha gente que ofrece contenidos por el mero placer de saber que la informacion puede resultar util a otras personas. >> [ Vinton Cerf ] ---[ 3.4 - Mentalidad y Habilidades Si hay algo que pueda convertir realmente a alguien en un hacker, esto es la cultivacion y mejora de sus habilidades, ya sean estas de caracter tecnico o bien mentales y/o psicologicas. Y estas caracteristicas deben de estar si cabe, todavia mas integradas en El Anonimo. Desde mi infancia me he visto atraido sobremanera por todo aquello relativo a la magia y el arte del engano. Todavia hoy conservo esta aficion, incluso siempre he creido interesante tomar ideas de los shows sobre pick-pocket. Podria decir que un cuarto de mi biblioteca personal esta compuesta por libros sobre Magia, pero esto supone pensar que toda la informacion en ellos contenida solo sirve para esta tarea, en cambio, El Anonimo debe verlo como una ingente cantidad de informacion que puede adaptar a sus necesidades y a cualquier situacion a la que tenga que enfrentarse. Considerando que la mente del hacker se asemeja mucho a la de un estratega, siempre he mantenido un interes sobre juegos como el ajedrez. El Anonimo, debe ser una persona con nervios de acero, dispuesto a tomar decisiones de ultima hora sin remordimientos y, por encima de todo, tiene que ser capaz de anticiparse a los movimientos de aquel que considere como un oponente. El Anonimo no deja elecciones al azar, eso supone aceptar la derrota como una posibilidad. Por otra parte, me gustaria comentar una curiosidad con respecto a la simbologia del ajedrez y los movimientos de un hacker. Es sabido que estos ultimos pueden ser anotados por un forense en una "linea temporal", del mismo modo que se anotan las jugadas que se suceden sobre el tablero. Con respecto a los peores y mejores movimientos se acostumbra a utilizar los siguientes simbolos: ! -> movimiento correcto. !! -> movimiento optimo. ? -> movimiento erroneo. ?? -> movimiento grave. !? -> movimiento dudoso, probablemente correcto. ?! -> movimiento dudoso, probablemente erroneo. Es curioso observar como tanto en el mundo del ajedrez como en el del hacking, el quinto movimiento (!?) suele convertirse la mayoria de las veces en el "mejor" movimiento, dado que forma parte de una cadena de sucesos que tienen como objetivo alcanzar la victoria. Y este es el mejor movimiento para el hacker, ya que logra un objetivo inicial de confundir al forense o analista de seguridad en su linea de acontencimientos, y al mismo tiempo es la pieza clave de todo el ataque. Como conseguir realizar esta clase de movimientos es algo que solo aprenderas con la acumulacion de la experiencia personal. Observa al maestro, sigue al maestro, supera al maestro, conviertete en el maestro. El peor hacker es aquel que cree que solo le resultara beneficioso estudiar material relativo al hacking. El mejor es el que sabe sacar provecho de todas las materias para adaptarlas a sus propias necesidades. Por ultimo, y aunque algunos no lo vean asi, pienso que practicar el arte del lockpicking resulta muy beneficioso. En cierto sentido porque se desarrolla la habilidad manual, el sentido del tacto y del oido, la capacidad de concentracion profunda y en definitiva por el resultado de las cosas bien hechas. El lockpicking guarda estrecha relacion con la ingenieria inversa, pues la base es la misma, por un lado tenemos una proteccion, y por el otro la capacidad para investigarla, conocerla y sortearla (romperla no es una palabra completamente correcta pero puede utilizarse como sinonimo si sabemos a que nos referimos). << ... en aquellos casos que se encuentran fuera de los limites de la pura regla, es donde se demuestra el talento ... >> [ Edgar A. Poe ] ---[ 4 - Las Armas Tecnologicas del Anonimo Habiendo repasado hasta ahora cuestiones de ambito general, detallaremos en las siguientes secciones temas mucho mas interesantes para el hacker. Es imposible intentar abarcar en un solo articulo todos los aspectos tecnicos que alguien puede utilizar para protegerse y eludir a los cazadores; pero la experiencia nos dice que puntos son los mas importantes y en cuales nos debemos centrar. Hasta este momento no ha sido un deber, pero a partir de aqui es altamente recomendable que vayas leyendo y estudiando todas y cada una de las referencias que se citan de forma respectiva en cada seccion. No sirve de nada saber que deberias hacer, sino saber como hacer lo que tienes que hacer. << El hombre todavia puede apagar el ordenador. Sin embargo, tendremos que esforzarnos mucho para conservar este privilegio. >> [ J. Weizembaum ] ---[ 4.1 - Comunicaciones Anonimas De una u otra forma, El Anonimo debe comunicarse, es una necesidad. Como todo hacker, precisa compartir e intercambiar informacion. El hacking es un mundo donde las tecnicas se renuevan cada dia, y es precisamente en los circulos mas cerrados del underground donde estas habilidades son compartidas antes de que salgan a la luz. Los 0-day no son solo una ilusion. Ahora, utilizar medios que puedan comprometernos a la hora de vincularnos con este intercambio de datos puede ser da~ino para nuestra seguridad. Es por ello que a continuacion detallaremos en primer lugar que aspectos debe tener en cuenta el hacker para salir indemne. << Todo lo que no tiene solución no se soluciona, y lo que la tiene tampoco. >> [ Bill Gates ] ---[ 4.1.1 - Utilizar un Terminal Limpio El Anonimo siempre utiliza un terminal movil desechable sin numeros guardados en la agenda de modo que jamas se le pueda relacionar con nadie. De modo preferente lo obtiene a traves de Internet (ya sea Amazon, eBay, u otros...) luego lo recoge en la agencia de paqueteria (nunca, y bajo ninguna circunstancia, en el domicilio propio) y normalmente a traves de un desconocido sin relacion que le hace el favor ya sea lucrativamente o no (recuerda que anteriormente no recomendabamos la utilizacion de intermediarios, nunca se sabe en quien se puede confiar). Este es un buen lugar para comentar la noticia aparecida el dia 22 de abril del 2009 en una-al-dia (hispasec), cuyo titulo es el siguiente: "Moviles antiguos por 25.000 euros para phising avanzado?". Se cuenta en esta noticia que se ha detectado a algunos grupos intentando conseguir por todos los medios posibles un modelo antiguo de la marca Nokia (en concreto un Nokia 1100 del 2003), y que se ha llegado a pagar la friolera de hasta 25.000 euros por el mismo. Este modelo tiene un fallo en su programacion (esto era sabido), que al parecer permite alterar su codigo para otros fines. Se piensa en principio que con este movil podrian interceptarse las comunicaciones con cualquier numero de telefono escogido arbirariamente. Esto conlleva que los atacantes podrian burlar lo sistemas de validacion bancarios mediante SMS, los cuales son utilizados la mayoria de las veces como un metodo extra de seguridad ante fraudes como el phising o sistemas troyanizados. Lo que a El Anonimo le puede interesar, es que tal vez este no sea el motivo principal por el que se esta adquiriendo este movil, sino mas bien como menciona hispasec: "Quizas, simplemente han encontrado alguna forma de realizar llamadas ilimitadas sin pagar, impedir ser localizados, o cualquier otra ventaja para quien opera al margen de la ley". No obstante, y aunque esto sea asi, no creo que a nadie le apetezca desembolsarse tanto dinero en un terminal, mucho menos un anonimo que, aun protegiendo su identidad, deberia ser un gray hat. Por otro lado, habria que ser bien estupido ahora mismo como para intentar conseguir un aparato que esta siendo rastreado y vigilado por los federales. << Todo el mundo puede equivocarse, pero solo un loco persiste en su error. >> [ Ciceron ] ---[ 4.1.2 - FreeNet, TOR y otros... Bueno, ya todos conocemos esta clase de redes, cada una de ellas utiliza una tecnologia diferente, pero todas ellas tienen el objetivo de que el rastro sea perdido en la comunicacion, y que un servidor destino no pueda saber nunca quien es el cliente que origino una peticion. No vamos a adentrarnos aqui en los detalles de cada una de las redes. SET ya se ha esforzado en su momento en describirlas, empezando por un gran articulo de Lindir sobre FreeNet en el numero 28 de nuestra revista [5] (precedido de una breve introduccion en SET-27), y terminando por un articulo que yo mismo he escrito no hace mucho sobre los internals de TOR y sus problemas de seguridad en el numero 36 de SET [6]. No es mi deber estudiar el funcionamiento de estas redes por ti, de modo que tu tendras que averiguar que aspectos te benefician de cada una segun que cosas desees realizar (ya sea comunicarte o almacenar informacion secreta). Para que esta seccion entonces? Para recomendarte que las uses, pero siendo consciente de que no siempre pueden protegerte. Como ya he dicho en mi articulo, por poner un ejemplo, TOR intenta garantizar que un servidor no conozca de donde partio una peticion, pero en ningun momento se hace responsable de que la informacion que circula por la red no pueda ser interceptada (esto es mediante sniffers), y por lo tanto recomienda fervientemente el uso de metodos criptograficos como SSL para transacciones web u otros que protejan servicios que funcionan sobre texto plano. Otras redes interesantes que podrias estudiar o tener en cuenta son: - Winny -> http://es.wikipedia.org/wiki/Winny - Mute -> http://mute-net.sourceforge.net/ - GNUnet -> http://gnunet.org/ - Antsp2p -> http://antsp2p.sourceforge.net/ << La computadora converge con la television como lo hizo el automovil con el caballo. >> [ George Gilder ] ---[ 4.2 - Critografia vs Esteganografia Para El Anonimo no existe una lucha real entre estas dos modalidades de tratamiento de la informacion. Veamos los motivos: El Anonimo... 1) ... siempre se asegura de que su informacion sea invisible. 2) ... siempre se asegura de que su informacion sea ilegible. La esteganografia es el arma basica para conseguir un ocultamiento completo, pero El Anonimo sabe que no utilizarla en combinacion con la criptografia es un comportamiento de chicos estupidos, un acto que puede salirle muy caro. Esto significa que El Anonimo siempre las usa en union, y es consciente a su vez de que esta utilizando los mejores algoritmos de que puede disponer. Con respecto a esto, El Anonimo es una persona meticulosa y entrena su memoria siempre que puede. Esto le permite seguir todos los tips de seguridad en lo que se refiere al establecimiento de contrase~as y el unico lugar en donde las almacena no es sino su cerebro. Jamas y repito, jamas utiliza ningun elemento vinculado a su personalidad real. Sin duda alguna, una de las mejores webs en lengua hispana sobre criptografia es Kriptopolis [7], actualizada a diario con las ultimas novedades en la materia, ya sea ofreciendo nuevos retos para aquellos que disfruten del criptoanalisis, como informando de las nuevas vulnerabilidades en los algoritmos de cifrado o hashing. << El ordenador ha sido hasta ahora el producto mas genial de la vagancia humana. >> [ Slogan de IBM ] ---[ 4.2.1 - Denegabilidad Plausible Pero todavia existe una cualidad todavia mas fuerte que El Anonimo puede utilizar en su beneficio cuando almacena informacion confidencial. Estamos hablando de la "denegabilidad plausible", que es la caracteristica de un algoritmo o metodo de criptografia que permite afirmar al usuario que lo utiliza "que no existen datos escondidos en el archivo o volumen cifrado". Truecrypt es un claro ejemplo de esto y lo mantiene como principio fundamental de su metodologia. Crea un volumen de tamaño arbitrario fijado por el usuario y lo rellena con datos supuestamente "aleatorios", de modo que una vez que un objeto (fichero, ejecutable, documento, etc) sea almacenado dentro del mismo, un analista externo sea incapaz de diferenciar que datos son realmente cifrados y cuales son aleatorios. Es mas, Truecrypt permite introducir un volumen oculto dentro de otro que no lo es, asi, si guardamos informacion confidencial en el oculto, e informacion trivial en el "contenedor externo", el hecho de revelar la contraseña bajo presion o amenaza solo abrira este ultimo, y el usuario puede afirmar (debido al principio de denegabilidad plausible), que no exite otro volumen oculto dentro. Uno de los ultimos acercamientos a este asunto ha venido de la mano de Julia en Phrack 65 con su articulo: "The only laws on the Internet are assembly and RFCs" [9]. Entre sus parrafos queda claro que las tecnicas de esteganografia quedan por debajo de las capacidades de ocultacion de la denegabilidad plausible. << Daria con gusto la mitad de la ciencia que me sobra por adquirir una pequeña parte de la experiencia que me falta. >> [ P. Flores ] ---[ 4.3 - Anti-Fingerprinting Bien. Has utilizado condones, has saltado a traves de todo el globo terraqueo conectandote a un sinnumero de ordenadores con la clara mision de evitar que tu posicion original pueda ser trazada, pero aun sin saber como lo han hecho, te han descubierto. En este punto, lo mas seguro es que quieran averiguar lo maximo posible sobre ti y sobre tu sistema. Tener un SO instalado de base no es buena cosa. Las tecnicas anti-fingerprinting, como todos sabemos, son aquellas que, o bien procuran evadir la identificacion de un sistema operativo concreto, o bien intentan modificar ciertos parametros del mismo de tal forma que sea identificado por el software de "fingerprinting" como uno totalmente diferente al que en realidad es. Esto vuelve a parecer nuevamente como la discusion entre ocultar y suplantar, la primera puede requerir menos trabajo, pero la segunda seguira siendo siempre mas efectiva. Para ocultar un sistema operativo lo mas comun suele ser implantar un cortafuegos bloqueando trafico entrante sospechoso (esto es paquetes ICMP malformados, tramas TCP/IP con parametros no habituales, etcetera). No responder a solicitudes ICMP echo (ping) es una de las reglas mas basicas a tomar, muchas herramientas fallan si no reciben respuesta a este mensaje y por tanto no continuaran las subsiguientes pruebas. En entornos Windows el registro tiene todas las llaves para abrir o cerrar las puertas, en Unix tanto el sistema de archivos "/proc" como el comando "sysctl" seran practicamente todo lo que necesitas, amen de "iptables" y el poder de sus reglas (el poder que tu tengas para configurarlas). Para los mas avanzados no estaria mal crear un modulo de kernel que controle de forma manual todo el trafico y decida que hacer con cada paquete en base a ciertas reglas. Esto es posible gracias al poder de los hooks con NetFilter. Varios ejemplos pueden ser encontrados en la red, aunque personalmente la mejor forma de aprender sera leyendo el gran libro "Understanding Linux Network Internals" de la editorial O'Reilly, y el fantastico articulo publicado en la edicion numero 61 de Phrack, "Hacking the Linux Kernel Network Stack" [10] por bioforge. Suplantar el comportamiento de un sistema operativo dentro del tuyo propio implica conocer al detalle la implementacion de la pila de red de ese mismo sistema, y provocar respuestas con los mismos parametros. Existen varias pruebas de concepto que desarrollan este metodo a base de LKM's o directamente parches para el kernel simulando por ejemplo que tu sistema es una estacion VAX o cosas por el estilo. Finalmente, y ya que eres un hacker (o eso suponemos), si tienes ideas en mente, y te apetece aplicarlas, no esperes a que alguien realice el trabajo por ti, y "programatelo tu mismo". << Desde el punto de vista de un programador, el usuario no es mas que un periferico que teclea cuando se le envia una peticion de lectura. >> [ P. Williams ] ---[ 4.4 - Simulacion de Ataque Este apartado deberia ir claramente dentro de la seccion "Acciones de Ultima Hora". Simplemente se ha quedado aqui por ser el lugar original que ocupo y porque mi comportamiento rebelde ha impedido que lo cambie. Al tema. Imaginemos que todo lo que has aprendido hasta ahora no te ha servido de nada, tal vez sea porque realmente es basura, o porque no has sabido aplicarlo correctamente. En fin, te han cazado, y estan a punto de entrar por la puerta. Hemos dicho que has realizado tus conexiones a traves de muchos otros sistemas antes de llegar a tu objetivo. Preguntate: ¿Saben "ellos" al 100% que tu eres el atacante original?. ¿Podrias haber sido tu tambien una de las pobres victimas intermediarias? La respuesta es: "que podrias simularlo". Tu controlas tus logs, entonces tu puedes modificarlos, crear entradas falsas pero totalmente creibles. La solucion mas rapida que yo recomiendo es tener un script preparado para ejecutar con permisos de root y que realice algunas de las siguientes acciones (o todas): Nota: Se da por hecho que has anulado toda clase de proteccion activa o pasiva en tu maquina (simula no saber nada). - Agregar una cuenta con permisos de administrador con un nombre o alias presumiblemente procedente de otro pais. - Cambiar directamente a ese usuario. - Troyanizar tu propio sistema con algun rootkit conocido. - Activar un servidor FTP en tu sistema con una cuenta anonima. - Añadir a los logs una entrada de conexion a ese servidor desde una IP extra~a (aquella que supuestamente te ha atacado y acorde a la supuesta nacionalidad del nuevo usuario creado). - Acorde a todo esto modificar las fechas de ultima modificacion y acceso de los logs (los analistas forenses no son idiotas). - Todo lo que se te ocurra desde un punto de vista inteligente. Finalmente debes borrar este script antes de que los chicos duros entren en tropel por el pasillo. Como nota final debo advertir: Si puedes realizar todas estas operaciones desde Windows la credibilidad sera muy superior que en otro caso. Que te pillen con las manos en la masa utilizando alguna variante de Unix o Mac sera sospechoso. Aunque yo personalmente no podria hacerlo asi... Nuestro amigo RomanSoft publico hace tiempo un paper desarrollando el analisis completo (post-morten) de un sistema Unix atacado. Se titula: "Reto de Analisis Forense - RedIRIS" y puedes encontrarlo aqui [8]. Para que esta referencia? Si tienes la paciencia de ver y estudiar lo que un forense es capaz de descubrir y que no en un sistema comprometido, quizas puedas aprovechar este material para crear tus propias pistas falsas y conducir la investigacion por el camino que tu desees. El unico camino que no te pondra entre las rejas. << Obtener informacion de internet es como intentar beber agua de una boca de incendios. >> [ Mitchell Kapor ] ---[ 4.5 - Practicas Anti-Forense El anonimo perfecto seria el "anonimo no-existente", pero dado que esta premisa es imposible, y debido a un principio que veremos en el siguiente apartado, la cualidad que El Anonimo debe desarrollar de forma que no contenga imperfecciones, es la habilidad para borrar todos sus rastros o evitar siquiera que estos se produzcan. << Donde con toda seguridad encontaras una mano que te ayude, sera en el extremo de tu propio brazo. >> [ Napoleon ] ---[ 4.5.1 - Acercamiento a la Teoria Forense Todo aquello que tenga relacion con la teoria forense se basa en el mismo principio, el conocido "Principio de Intercambio de Locard", que en pocas palabras viene a decir que "todo contacto deja un rastro. De forma extensa se dice que: "siempre que dos objetos entran en contacto, transfieren parte del material que incorporan al otro objeto". En informatica, los analisis forenses se llevan a cabo o bien con el objetivo de recuperar toda la informacion posible de un medio de almacenamiento cualquiera, para posteriormente presentarlo como prueba (evidencia) ante un Juzgado en un proceso penal, o bien con el objetivo de establecer una linea de acontecimientos ocurridos en un sistema particular puediendo asi detallar los pasos seguidos por un posible atacante. Segun el Principio de Locard, es imposible no dejar ni un solo rastro, pero eso no quiere decir que el hacker tenga la habilidad de dejar la minima evidencia posible, y alterar aquella otra que permaneza de modo que no lo relacione con el caso. << Nada aumentara tanto las posibilidades de pescar un pez grande. Como el hecho de ponerse a pescar. >> [ XXX ] ---[ 4.5.2 - Ocultamiento de Informacion Hemos hablado ya de criptografia y esteganografia, ambos metodos para ocultar o hacer que la informacion sea ilegible para un sujeto no autorizado. Ambas tecnicas tienen algo en comun, se basan en un contenedor que mantiene de forma encubierta el contenido. El fallo esta en que una vez descubierto el contenedor, siempre es solo cuestion de tiempo (poco o mucho) extraer el contenido. Cabe pensar entonces que cuanto mas dificil sea de suponer o imaginar el contenedor, la seguridad aumentara en proporcion. Grugq demostro esto en su articulo "Defeating Forensic Analysis on Unix" [11] en Phrack 59, donde presento una herramienta conocida con el nombre "runefs" capaz de crear un espacio de almacenamiento en el bloque de inodos malos de un sistema de archivos EXT2, el cual debido a un error de programacion no era tenido en cuenta por la suite The Coroner's Toolkit (famosa en analisis forense y recuperacion de datos en sistemas Unix), pudiendo asi guardar alli informacion oculta (por norma general cifrada). Pero como ya descubrimos a lo largo de este articulo, esto es una lucha, un fallo es explotado, un parche lo arregla, y otro nuevo metodo es investigado. Juegos con el procesador de las tarjetas graficas estan volviendose mas famosos cada dia. Como desarrollar una aplicacion especifica para trabajar con la GPU es un tema complicado, aunque viable. A pesar de que existen trabajos mucho mas avanzados que este, scythale ofrecio algunas pequeñas ideas en su articulo "Hacking deeper in the system" [12] en Phrack 64, acerca de la posibilidad de utilizar la GPU como motor de cifrado y la memoria RAM de la misma tarjeta grafica como espacio para ocultar la informacion. Por mi parte tambien recomiendo los manuales y guias de nVidia CUDA (todo un framework con extensiones al lenguaje de programacion C que te adentrara en el mundo de la explotacion de la GPU). << Triste epoca la nuestra. Es mas facil desintegrar un atomo que superar un prejuicio. >> [ A. Einstein ] ---[ 4.5.3 - Explotacion: No Dejar Rastro Algunos de aquellos que se autodenominan hackers, se enorgullecen cada vez que logran explotar un programa y sacan beneficio de ello, sobretodo cuando el acceso se produce de forma remota. Aqui entra en juego el script-kiddie, aquel que jamas piensa en las consecuencias y repercusiones de sus actos. Ha conseguido el ultimo exploit y lo ha utilizado indiscriminadamente. Pero descuida, si ha logrado acceder a un sistema de cierta importancia, pronto sera cazado. El Anonimo sabe que todos los exploits que puede encontrar a lo largo de la red son en realidad pruebas de concepto, y estas solo se preocupan de demostrar que una shell puede ser obtenida. La catastrofe que sucedera despues queda a cargo del hacker. Por lo tanto, y ademas, como hacker real se encargara de utilizar las ultimas tecnicas en prevencion de deteccion. Y aqui hablo del uso de shellcodes codificadas, combinaciones multiples de NOPS aleatorios, y cualquier cosa que evite que un IDS haga saltar todas las alarmas del sistema. No esta en contra del hacker sacar el mayor provecho del tiempo del que dispone, de modo que utilizar una plataforma de desarrollo como Metasploit para preparar sus ataques, simplificara la mayoria de los aspectos que hemos comentado. Entonces, el Anonimo jamas probara el exploit por primera vez en el sistema objetivo, siempre analizara las reacciones en su propio laboratorio de pruebas, comprobara de que forma reacciona el programa vulnerable, y las posibles consecuencias de que este finalice de forma inesperada. En el film "La Teniente O'Neil" se puede escuchar una frase que dice: "Yo tenia un reloj estropeado, que acertaba dos veces al dia". Como expertos hackers eso no nos sirve. Lo que si nos sirve es otra de sus frases: "Si debe hacerlo, hagalo en silencio". Continua leyendo para mas informacion... << Si el hombre fuese constante seria perfecto. >> [ Shakespeare ] ---[ 4.5.3.1 - Aqui No Ha Pasado Nada El Anonimo no solo tratara de que el programa no finalice incorrectamente, sino que se asegurara por todos los medios de que esto nunca ocurra. Tirar abajo un servidor y dejar sin servicio a una gran cantidad de usuarios, es una llamada a voces para que vengan a buscarte. Por este motivo, El Anonimo utiliza las tecnicas mas adecuadas para su trabajo, normalmente preferira utilizar un metodo return-into-to-libc antes que una explotacion directa, ya que esta permite de un modo mas sencillo establecer un punto de retorno. Este punto de retorno debe ser estudiado en detalle, de forma que los registros afectados durante las acciones del "payload" no afecten en el transcurso posterior de la aplicacion. Ademas, El Anonimo solo tiene "un intento", jamas puede permitirse provocar un fallo segmentacion. Esto ocurre por dos motivos bien claros: 1) Un fallo de segmentacion normalmente privara la realizacion de un segundo intento exitoso (hablamos de explotacion remota). 2) Un fallo de segmentacion provoca una alerta de que algo extranyo ha ocurrido, y nuevamente es una llamada a la investigacion de los hechos. Lograr que todo esto no ocurra, normalmente implica hardcodear las direcciones correctas en un entorno simulado que debe emular hasta el mas minimo detalle las caracteristicas del sistema objetivo. << No puedo cambiar la dirección del viento, pero sí ajustar mis velas para llegar siempre a mi destino. >> [ James Deam ] ---[ 4.5.3.2 - Yo No He Estado Aqui Si damos por hecho que la posibilidad de ejecutar codigo arbirario es cercano al 100%, finalmente una shellcode normal acabara por proporcionarnos una linea de comandos, ya sea de forma directa o inversa. El problema es que la ejecucion de un binario como "/bin/bash" o "/bin/sh" provocara una llamada a "execve( )" que en el fondo es tecnicamente una syscall del sistema operativo encargada de preparar el entorno necesario para ejecutar el nuevo proceso. Esto implica que la accion puede ser logueada y trazada nuevamente en la linea de acontecimientos de un analista forense. Y este es el menor de los problemas si cabe, ya que esta syscall puede estar restringida a un cierto grupo de usuarios o administradores y denegada para otros, lo cual acabaria en un error desastroso. El planteamiento y solucion a este problema vino en primera instancia de la mano de "grugq" con sus papers: - The Design and Implementation of ul_exec [15] - Remote Exec [16] Mas tarde con una implementacion mejorada de los hackers Pluf y Ripe en: - Advanced Antiforensics : SELF [17] En resumen, la solucion pasa por construir un "userland exec", que no es mas que una implementacion propia de la syscall anteriormente mencionada y que no necesita tener un binario almacenado en disco, sino que recuperara toda la informacion necesaria de la memoria y realiza el trabajo necesario para ejecutar el proceso deseado. Para conocer los detalles inherentes a estas tecnicas dejo al lector la mision de leer y estudiar los papers anteriores. Hay algo que hasta el momento no ha sido implementado en los desarrollos presentados, y que en mi humilde opinion deberia comenzar a tenerse en cuenta. Sea como fuere, es inevitable que los datos viajen por la red, y enviar un binario a la memoria de un proceso remoto donde quizas exista un sniffer escuchando puede convertirse en un problema a resolver. Por tanto, mi idea es la de agregar metodos de cifrado entre el ELF loader que espera en el host objetivo y el binario estaticamente enlazado que esta siendo enviado por la red. El primero debera descifrar el segundo y proceder luego a su normal ejecucion. << El software es como la entropia: dificil de atrapar, no pesa, y cumple la Segunda Ley de la Termodinámica, es decir, tiende a incrementarse. >> [ Norman Augustine ] ---[ 4.5.4 - Luchar Contra los Logs Borrar las huellas del crimen parece un paso obvio despues de una intrusion exitosa. Pero es sabido que los script-kiddies se saltan esta fase del ataque con bastante frecuencia. Tu no, tu eres "El Anonimo", y tu conocimiento acerca de los logs pasa por comprender completamente como funciona el demonio syslog. Hay muchos documentos por ahi describiendo la situacion de los logs dentro del arbol de directorios para cada sistema. En concreto yo ya hice un ligero acercamiento en el numero 28 de SET en "Algo acerca de los logs" [18]. En fin, puedes conocer la situacion de la mayoria de los logs, pero un buen administrador puede realizar cambios particulares en el sistema con el objetivo de burlar tus intenciones. No obstante, recordemos que "/etc/syslog.conf" siempre contendra la magia y los Paths del resto de ficheros de registro (a no ser que el mismo administrador haya modificado el codigo fuente del demonio syslog y haya alterado este comportamiento). No obstante, siempre podrias utilizar herramientas habituales para buscar patrones dentro del sistema de ficheros, encontrando asi los que mas se parezcan a dicho archivo de configuracion. Para los logs mas escurridizos, aquellos de los que en principio no tenemos constancia pero que han guardado informacion sobre nosotros (estos suelen pertenecer a aplicaciones particulares que realizan su registro a parte), hay una tecnica muy simple que resulta bastante efectiva: Se trata simplemente de crear un archivo como "/tmp/check" justo en el momento en que inicias la sesion en el sistema como root y, justo antes de abandonarla, buscar con "find" aquellos archivos que han sido modificados mas recientemente que el archivo que creamos. Esto se logra asi: 1) # touch /tmp/check 2) # find / -newer /tmp/check -print Solo nos estamos centrando en sistemas tipo Unix, pero date cuenta que portar estas tecnicas a otros entornos no deberia presentar ningun problema. Una buena referencia sobre borrado seguro y zonas de datos sensibles puede verse en el articulo "Anonymizing UNIX Systems" [19] de van Hauser, del bien conocido grupo "The Hackers Choice". << A mucha gente todavía le gusta Solaris, pero estoy compitiendo activamente con ellos, y espero que mueran. >> [ Linus Torvalds ] ---[ 4.5.5 - Tecnicas de Borrado Seguro Todo el mundo ya sabe desde luego que el sistema de borrado que trae consigo por defecto cualquier sistema operativo no implementa un nivel de seguridad minima. Esto quiere decir que normalmente los datos de un fichero siempre continuan donde estaban aun a pesar de que este haya sido eliminado. Ocurre esto ya que para mejora de la eficiencia del sistema, resulta mas practico indicar al sistema de archivos pertinente (ya sea Ext2/3, FAT16/32, NTFS, HFS+, JFS, etc...) que el archivo ya no existe y que su espacio de datos queda disponible para futuros usos, que dedicarse a borrar estos mismos datos en el proceso. Sobre estos problemas existe mucha informacion y por mi parte ya fueron tratados en el articulo "Seguridad de los datos" [20] publicado en la edicion numero 30 de esta misma e-zine. Por poner un ejemplo, tener "rm" instalado en el sistema y usarlo por defecto es un comportamiento descuidado; resulta mas efectivo obtener una herramienta como "shred" y añadir a tu ".bashrc" personal un alias como el siguiente: alias rm='shred -zu' Desde ese momento, cualquier llamada a "rm" pasara por "shred" y no por el binario original. Las opciones que utilizamos son estas: -u, --remove trunca y borra el archivo después de sobreescribirlo -z, --zero sobreescribir con ceros al final para ocultar la division NOTA: Si utilizas Windows deberias aplicar una tecnica parecida. Ya que no hay mucho mas que decir sobre este punto, tan solo recalcar nuevamente el hecho de la existencia de metodos hardware para la recuperacion de evidencia a un despues de sucesivas reescrituras de un medio de almacenamiento dado. Esto es bien sabido debido en parte a la siguiente definicion: "Escribir de forma aleatoria no es la solución en los discos duros antiguos, ya que muchas veces, la secuencia escrita no altera totalmente el campo magnetico posibilitando la recuperación de los datos originales." Como no, para los mas echados hacia adelante, pueden probar nuevos experimentos sobres sus soportes de uso diario, por mi parte ya he visto en la web alguna demostracion de como freir un CD mediante el uso de bobinas Tesla (orginiarias de su descubridor Nikola Tesla). << El poder tiende a corromper, y el poder absoluto corrompe absolutamente. >> [ John E. Acton ] ---[ 4.5.5.1 - Acciones de Ultima Hora - (Toc toc toc...) - Quien es ? - La Policia! - Jooodeeer... Alguno se pensara que tengo pensado representar aqui la escena clasica de las peliculas donde uno se dispone a borrar todos sus datos justo cuando la ley esta a punto de entrar por la puerta (o incluso freir los discos duros con nada menos que un aparato desfibrilador como se puede ver en el film "El Nucleo" o "The Core"). Lo cierto es que todo esto significa estar muy poco prevenidos. Desde mi punto de vista el siguiente modus operandi seria mucho mas adecuado. Para empezar los datos importantes (los cuales a su vez son los que podrian implicarnos) deberian de estar siempre en servidores remotos lejanos a nuestra residencia actual. Estos datos (ya sean datos interpretables o software en si) deberia usarse de forma remota siempre que sea posible. Y en cualquier otro caso solo traerlos al sistema local a modo de demanda, siempre removiendo estos al finalizar su uso, o al terminar la sesion de hacking en que uno esta inmerso. Ahora, si necesitamos una pequeña aplicacion (lease script) que borre alguna cosa de nuestros ordenadores en ultima instancia, ya no tendra que encargarse de gigas de informacion indiscriminada, sino mas bien de borrar tan solo todos los logs del sistema que puedan implicar alguna conexion con los servidores remotos y adicionalmente el directorio donde pudiera haber quedado alguna aplicacion que haya sido descargada a demanda y todavia no haya sido borrada. Por ultimo, debemos contar en todo momento con una persona de confianza que pueda fisicamente o no acceder a ese supuesto servidor remoto y borrar toda la informacion que el mismo contenga (copiando lo extrictamente necesario a otro medio de almacenamiento que pueda ocultarse en un nuevo lugar seguro). En resumidas cuentas tenemos que: 1 - Mientras la policia investiga nuestros sistemas, a priori: 1.1 - Estos no contienen informacion que resulte en evidencia. 1.2 - No existe informacion de conexion al servidor remoto del cual los investigadores (otra vez a priori) no saben nada. 2 - Mientras tanto...: 2.1 - Nuestro confidente ha eliminado todos los datos de dicho servidor, y lo ha formateado sino desecho de el. Aunque es una de las miles de soluciones que uno puede encontrar (habida cuenta de que una sola mente no puede imaginarlas todas), no quiere decir en nigun momento que el metodo sea infalible, de hecho, es demostrablemente falible, ya que si consiguen alcanzar el servidor, como vimos en las secciones anteriores, es imposible que no exista rastro de presencia alguna. << El problema de los virus es pasajero y durara un par de años. >> [ John McAfee ] ---[ 5 - Miscelanea En esta seccion pretendo mostrar ciertos aspectos que aun a pesar de proceder de otras fuentes distintas a la subcultura hacker, guardan una estrecha relacion con la clase de comportamiento que una persona en busca de anonimato deberia adoptar. << Trabajar y consumir, ¿habra vida antes de la muerte?. >> [ XXX ] ---[ 5.1 - Magia y Misdirection Cuando uno se interesa por la magia, la cartomagia, numismagia o, en resumen, cualquier clase de ilusionismo, no todo lo que estudia para llegar a ser uno de los grandes es "practica", sino que detras de todo ello existe una profunda teoria que viene desde los tiempos mas antiguos. Existe toda una psicologia que los magos estudian para saber manipular no solo los aparatos, sino tambien a su publico. Es por ello que al final terminan convirtiendose en verdaderos maestros del enganyo. Y la parte mas importante si cabe de toda esta teoria, es un concepto conocido como "misdirection", que traducido al castellano viene a ser: "desvio de la atencion". Misdirection es en resumen la facultad que tiene una persona para lograr que otra u otras personas dirijan su atencion a una sola cosa (como si ello fuera lo mas importante en ese momento), mientras realiza una accion secreta en el lugar donde la atencion se ha desvanecido. Imaginar a un mago encima de un escenario, hablando tranquilamente con el publico y con una baraja de cartas en la mano. Que ocurre si de pronto el mago da un grito y senyala con su dedo directamente a un espectador al final de la sala? Exacto, el resto del publico se girara automaticamente para ver a quien diablos esta apuntando, y el mago puede aprovechar ese desvio de atencion para hacer su movimiento secreto o incluso cambiar su baraja por otra trucada (o viceversa). Claramente, un mago que se precie jamas haria tal cosa, las tecnicas de misdirection son mas sutiles que todo eso, y normalmente se basan en posturas del cuerpo y juegos de miradas. Por ejemplo, una persona sentada en una silla y que se inclina hacia adelante sobre el tapete de la mesa apoyando los brazos es alguien que inconscientemente dice "que es un momento de concentracion", y esto provoca que el publico tambien este mas atento, en cambio, si la persona (lease mago), se echa hacia atras reposandose tranquiltamente contra la silla, eso quiere decir que el momento de tension ha pasado, y obliga al publico ha relajarse. No es que mi intencion sea dar unas clases de magia teorica, desde luego, ni revelar secretos, ni mucho menos, pero si abrir los ojos a todas aquellas personas que creen que todo en la vida funciona por azar. Con ello intento hacer comprender a "El Anonimo" que todos sus movimientos tienen un objetivo, y que la mejor forma de ocultar sus actos es llamando la atencion sobre otros. Alguno ya se habra dado cuenta que esto mantiene cierta relacion con la seccion "Concepto de Superposicion" que ya expusimos en su momento. Pues si, la idea basica va por ahi. Ya que no todo el mundo esta dispuesto a comprar libros de "magia", pues no todos tienen las mismas aficiones, seria recomendable echar un vistazo en la wikipedia u otras fuentes mas amplias. Es decir, la "misdirection" se utiliza tambien en literatura detectivesca cuando se quiere mantener oculto hasta el mismo final el autor real de un crimen, llevando al lector de un posible asesino a otro por medio de pistas falsas. Y como en el mundo de las letras, "el desvio de la atencion" tambien es aplicable al mundo del hacker. NOTA: Para todos aquellos iletrados en estos temas, pueden obtener una decente dosis de conceptos sobre misdirection en la pelicula "Operacion Swordfish". << Si no puedo persuadir a los dioses del cielo, movere a los de los infiernos. >> [ Virgilio ] ---[ 6 - A Traves de la Bola de Cristal Muchos se preguntaran que es lo que esta por venir con respecto a temas de anonimato y tecnicas anti-forense, que al fin y al cabo es la materia de estudio fundamental para El Anonimo. Pues Duvel ya nos adelanto algunas cosas hablando sobre proyectos basados en la Inteligencia Artificial para el desarrollo de aplicaciones que sean simuladores de entidades arbitrarias. Tal como el nos lo explico queda mas claro: Si queremos que el programa componga un texto simulando haber sido escrito por "George Bush", solo tenemos que proporcionarle una cantidad de textos suficientes que hayan sido escritos realmente por el para que el motor de nuestro programa elabore una imitacion de la expresion suficientemente aceptable. Es facil descubrir ahora que esta idea apoya nuestra postura de la "suplantacion" que ya tratamos al principio de este articulo. Duvel menciono en un apunte interesante que ya se le habia ocurrido un titulo para un nuevo articulo: "Defeating Forensic: How to Cover Your Says". << Desviarse una pulgada al comienzo del buen camino, significa apartarse mucho al final de ese buen camino, lo que hara que la verdad sea inalcanzable. No es asi? >> [ Arthur Conan Doyle ] ---[ 7 - Consideraciones Finales Bien, pues hasta aqui hemos llegado tras la exposicion de unas bases solidas y principios de comportamiento que en un futuro deberan asimilar y adoptar los "fantasmas de la red". Fue mi intencion desde un principio animarte a leer todas y cada una de las referencias que he nombrado a lo largo de este documento. Si bien mis letras sirven como enlace de union de todos ellos en una teoria bastante consistente, los detalles extensos e implicitos de cada apartado no dejan de estar en los papers que he señalado. Por cierto, este articulo ha presupuesto que tu o "El Anonimo" jamas sera cazado, de modo que no nos hemos preocupado de describir en ningun momento cuales son las acciones o comportamientos a tener en cuenta si te encuentras en tal situacion (exceptuando "Acciones de Ultima Hora"). Pero como ya he dicho durante todo este tiempo, la teoria esta ahi a tu disposicion, y Phrack nos ha brindado en su publicacion 64 el fantastico articulo de Lance: "Know your enemy: facing the cops", donde podras aprender como actuan aquellas personas que a dia de hoy quieren "hacer cumplir la ley" en sus respectivos paises. Para terminar, El Anonimo alterara para su uso todas las tecnicas descritas en los articulos de Phrack y jamas llevara consigo este documento. Por que? Porque estos ya han sido estudiados por otros hackers, y el no es un hacker cualquiera, el es El Anonimo. Feliz Hacking! blackngel << Si ya habia realizado la apertura, y desenvuelto el medio juego, el final me daria el jaque mate. Era yo, el peon, contra un rey defendido por todo su sequito. >> [ blackngel ] ---[ 8 - Referencias [1] A brief history of the Underground scene by Duvel (TCLH) http://www.phrack.org/issues.html?issue=64&id=4#article [2] False Identification by Forest Ranger http://www.phrack.org/issues.html?issue=4&id=3#article [3] Social Security Number Formatting by Shooting Shark http://www.phrack.org/issues.html?issue=19&id=4#article [4] Hacker How-To http://www.catb.org/~esr/faqs/hacker-howto.html [5] Cinco horas con Fred http://www.set-ezine.org/ezines/set/txt/set28.zip [6] Tor - Una Verdad a Medias http://www.set-ezine.org/ezines/set/txt/set36.zip [7] Web Oficial de Kriptopolis http://www.kriptopolis.org/ [8] Reto de Análisis Forense - RedIRIS http://www.rs-labs.com/papers/RS-RetoRedIRIS_Informe_ejecutivo.pdf http://www.rs-labs.com/papers/RS-RetoRedIRIS_Informe_tecnico.pdf http://www.rs-labs.com/papers/RS-Reto_RedIRIS.zip [9] The only laws on the Internet are assembly and RFCs by Julia http://www.phrack.org/issues.html?issue=65&id=6#article [10] Hacking the Linux Kernel Network Stack http://www.phrack.org/issues.html?issue=61&id=13#article [11] Defeating Forensic Analysis on Unix http://www.phrack.org/issues.html?issue=59&id=6#article [12] Hacking deeper in the system http://www.phrack.org/issues.html?issue=64&id=12#article [13] Advanced Antiforensics : SELF by Pluf & Ripe http://www.phrack.org/issues.html?issue=63&id=11#article [14] Know your enemy : facing the cops by Lance http://www.phrack.org/issues.html?issue=64&id=14#article [15] The Design and Implementation of ul_exec http://www.projet7.org/~eberkut/TODO/binladenz/grugq_ul_exec.txt [16] Remote Exec http://www.phrack.org/issues.html?issue=62&id=8#article [17] Advanced Antiforensics : SELF http://www.phrack.org/issues.html?issue=63&id=11#article [18] Algo acerca de los Logs http://www.set-ezine.org/ezines/set/txt/set28.zip [19] Anonymizing UNIX Systems http://freeworld.thc.org/papers/anonymous-unix.html [20] Seguridad de los datos http://www.set-ezine.org/ezines/set/txt/set30.zip *EOF*