[OPINIÓN] Cada uno a lo suyo que no es recíproco. 6 años de ciberseguridad en la capital de los coches de caballos.

opinion-linkedin

Desde el año 2013 me embarqué en montar mi propia empresa. Desde entonces he vivido diversas experiencias y situaciones que no solo han cambiado mi vida, sino también, mi forma de pensar. Época de sastrería de trajes de flamencas, y yo haciendo informes de forenses informáticos.

Hace 1 año me prometí escribir sobre mi experiencia en primera persona y de forma cruda. Y aunque algo tarde, esta publicación es el resultado de aquella idea. Palabras que comparto con vosotros para que no cometáis los mismos fallos, si queréis montar una empresa.

El mundo de las empresas es muy diferente en cada sector y lugar. Por ello, quizás, no empatices con este escrito, y seguramente no seas de Sevilla y trabajes en otro sector diferente a la seguridad informática.

Por favor, leer el artículo como si yo lo leyera en voz alta.

Desde el pasado 14 de febrero no solo habrá pasado varias semanas de San Valentín, sino además, llevaré 6 años embaucado con QuantiKa14. Una empresa difícil de vender en una ciudad donde aún tenemos coches de caballos y tantas iglesias, como bares. Sin embargo, al no enfocar mi trabajo como eso, un trabajo. Sino una pasión y una vocación muy intrínseca… Intrínseca en mi persona, desde que soy muy pequeño. Podemos decir que era algo que he soñado desde muy joven. Me ha facilitado. Dicho de otra manera, me ha hecho más factible mi lado empresario. No obstante, me ha llevado su tiempo.

portada-fb

En el Lago Ness vive un monstruo y en las empresas existen los intermediarios. Si montas una empresa verás cómo abundan en todos sitios. Llama la atención el auge, no solo de personas, sino empresas de esta índole. Compañías que afirman tener despachos de decenas de personas dedicas a la ciberseguridad y luego subcontratan todo.

¿Y los contratos menores? Es la boda del monstruo del Lago Ness con administraciones tan opacas como un cielo estrellado. Aunque a veces es posible visualizar el sol entre tantas nubes. Donde puedes observar como algún funcionario/a destaca y brilla. Éticamente hablando. Al menos dicen “vaya desfalco”. ¿Habrá esperanza? Hay esperanza.

Ahora expondré algunos de los tipos de clientes problemáticos que me he encontrado. Esto no significa que todos sean así. Pero sí apostaría a que te serán familiares y alguna vez te los has topado en tu camino.

El cliente paranoico. ¿Has topado con alguno? Yo he tratado con centenas de personas que han venido a mi despacho a contarme su situación en busca de ayuda. Todo parece normal. Tienes un problema y buscas un profesional que te ayude. Tienes hambre y no quieres cocinar. Solución: voy a un restaurante o uso Just Eat. Pero todo se complica cuando todas las víctimas no saben que existe un servicio que puede ayudarles. En mi caso sería: sospecho que mi novio me ha instalado una app espía en mi móvil. ¿Quién me ayuda? Pero claro, si no conocemos que existen peritos informáticos será difícil.… ¿Qué es un peritaje informático? ¿Qué es una investigación OSINT?

¡Pero eh! Que me voy por las ramas. El cliente paranoico es un problema. Cuando empiezas sueles sufrir el síndrome “no tengo clientes” y aceptas todos los casos. Error que hemos pasado todos. Por desgracia es una bonita manera de aprender. Muchas personas, seguramente al sufrir constante o eventualmente un abuso pueden desarrollar una paranoia. El profesional tendrá que descartar y diseccionar minuciosamente la gran cantidad de información que le trasladará el cliente. Bajo mi experiencia suelen tener razón. Es más, deberá ser tratado con esmero. Amigo, si no te ves capacitado, no solo para realizar las labores técnicas, sino también para tratar con esmero la atención el cliente; es mejor que no lo cojas.

Recuerdo un caso donde la clienta manifestaba ser espiada por todos los dispositivos. Teléfonos pinchados, su página web hackeada, sus móviles y ordenadores con aplicaciones espías. Pues era cierto. No al 100%, pero el usuario administrador de la web estaba redireccionando a una cuenta de correo público. ¿Qué ocasionaba? Cualquier persona al darle a recuperar contraseña, mandaba un email que era abierto para todo el mundo. Además, el intruso para mejorar todo, publicó en Pastebin toda la base de datos, con datos de clientes, usuarios, productos, etc. No se encontraron indicios de aplicaciones espías en móviles y ordenadores. Por lo cual, a la cliente no le faltaba razón. Estaba sufriendo un acoso y un abuso por parte de una tercera persona. Es más, no era de quien sospecha, pero era cerca de su círculo. Pero claro, cuando ignoras cómo y te ves impotente. La paranoia surge y crece como la espuma.

Otro caso parecido que ya comenté en el blog de QuantiKa14 donde mi cliente estaba super paranoico, y con mucho motivos, porque habían empapelado la ciudad con su cuerpo desnudo. ¿Cómo estarías tu?

pene-en-atril-1

El cliente ciego. Esta actitud puede venir complementada con la paranoica. Una bomba. Quizás de todas la más peligrosa. Básicamente es un perfil de persona que tiene su opinión sobre lo que le está sucediendo. Y es cerrada. Pienso que muchas veces lo que buscan es justificarse. En cambio, por mas que le expliques que su opinión es errónea con argumentos y datos seguirá pensando lo mismo. Imaginen una persona que va al médico pensando que tiene la pierna rota y por mucho que el médico le diga que tiene un esguince, o peor, un moratón, no cambiará de idea. De igual modo que su idea plana e infinita tiene una forma… absoluta.  Es muy probable que haga una mala publicidad de tu negocio. Por ello, he pensado muchas veces en contratar a un psicólogo para que atienda a mis clientes antes de aceptar o no, el caso. Debemos tener mucho cuidado. Dicho de otra forma: es una persona que quiere escuchar lo que quiere, y si no es así, discrepará o incluso pondrá en duda tus resultados, trabajos e incluso profesionalidad.

El cliente sin capacidad económica. En mi caso al tratar los problemas de personas, en una ciudad donde tenemos los barrios más pobres de España. Y sigue en plena crisis económica. Entenderás que muchos clientes que vienen a mi despacho no tienen dinero para pagarme. Para muchos será fácil. No aceptan y punto. Y con razón. Así son las reglas. Una empresa tiene el objetivo de ganar dinero. Sin embargo, para mi no es lo único. Yo quiero ayudar y mejorar no solo yo, sino la sociedad y mi entorno. Cuando eres una persona sensible y tienes la suficiente voluntad para decir “lo hago, sí, quiero ayudar”. Si eres así: tienes un problema. Porque dirás, sí a muchos casos, que no aportará nada en tus arcas. Por otra parte, a pesar de que no vayas a ganar un céntimo, percibirás algo mucho más importante: contactos que posiblemente te abran las puertas a nuevos clientes, experiencia y una bonita historia para las cenas familiares de navidad. Sin contar la satisfacción de obrar por una buena causa.

He leído alguna vez: “ya he cogido el caso solidario de este año”. A ver, es una forma de hacerlo, pero no creo que sea algo que se pueda cuantificar. Como he dicho antes, si eres una persona con convicciones y voluntad de ayudar y mejorar te será difícil gestionar el asunto como si fueran los presupuestos anuales.

El cliente tóxico. De la misma manera que en la vida real tenemos toxica-10personas tóxicas que nos succionan la energía y nos destrozan emocionalmente. En el mundo empresarial tenemos clientes o colaboradores que básicamente piensan que son tus jefes, le debes miles de favores, y son así de ególatras. Piensan que no solo estamos a su merced, sino que le debemos exclusividad y dedicación 100%. Debemos alejarnos. Durante nuestro camino del emprendimiento encontraremos muchas personas de este tipo, pero bajo mi humilde opinión, cuanto más lejos mejor. Es posible detectar a una persona empresaria y madura cuando encontramos habilidades para abordar a estas personas de la forma más educada.

Muchos usuarios piensas que la inteligencia artificial y la tecnología está super avanzada. Que gobiernos y empresas disponen de tecnologías capaz de analizar en tiempo real todos los datos del mundo. Y en bunkers secretos existe un ejercito de robots y naves espaciales. Excepto esto último que no lo sé, estamos muy lejos de llegar a ese punto. Un ejemplo reciente es Facebook. Muchos piensan que disponen de un algoritmo muy sofisticado para clasificar el contenido que, más de 2 mil millones de usuarios publican diariamente. Pero la realidad es que, no. Al contrario, para esto, podemos afirmar que, si existe un ‘bunker’, en la ciudad de Varsovia donde decenas de personas contratadas por FB deciden que insultos, drogas, abusos sexuales, terrorismo, decapitaciones, pezones, etc, se pueden publicar y cuales no en la red social.

Como diría una buena Gata que conozco: “no compartas y no habrá problemas”. Lo peor de todo es la gran cantidad de sabiduría que hay en esas palabras. Problemas goto /dev/null. Esta claro que, la ausencia de exposición sobre lo que opinas y sabes, trae menos problemas que lo contrario. Y si es lo que quieres; es lo mejor que puedes hacer. Pero, eso no va conmigo.

Quizás sienta una deuda con todas esas personas que suben sus conocimientos a Internet para que todos podamos aprender. Gratis y sin limitaciones. O simplemente me gusta compartir. No lo sé. Pero si eres como yo, que te apasiona lo que haces seguramente te suceda el síndrome “bocazas”. ¿Por qué? Porque hablaste más de la cuenta. Puedo asegurar con una gran cantidad de ejemplos: empresas pequeñas hasta gigantescas, todas ellas, le importas muy poco. Es más, le darán muy poco valor a tu idea/solución. Excepto que tengan una urgencia vital.  En ese caso serás el mesias. Pero si llegas con una idea/solución y pueden no contar contigo; lo harán. Por ello, no solo hay que saber cómo dar un servicio, sino, también, atender a los clientes, hablar por teléfono, intercambiar emails, y todo ello; sin dar datos de cómo lo vas a hacer. Algo que yo aún estoy aprendiendo.

Por último, me gustaría comentar la importancia de tener buenos colaboradores. Es decir, si trabajas con otros profesionales o te conviertes en un intermediario. Debes cuidar mucho con quien tratas. Yo me he encontrado de todo. Profesionales y unos cracks. Cara duras y sin verguenzas.

Profesionales jurídicos que atienden a los clientes sin ninguna sensibilidad y empatía. Profesionales que le derivas trabajo porque no puedes coger más, y no saben cómo realizar el trabajo. Pero no existe otra opción; enseñarles. Volvemos a compartir, le das tu cliente… y montan su empresa. Adiós a tu nicho de mercado. Pero eso no debe importarte. Es algo natural en un sistema como este.

Cuando llevas 6 años al final te rodeas de personas de confianza con las cuales ya has trabajado en varias ocasiones. Lo que nadie te explica es; la gran cantidad que has desechado por el camino.

En fin. Espero que estas pequeñas pinceladas de algunas de las cosas que he vivido como persona que tiene una empresa, te sirvan y te sea útil. Sino es así, es porque ya las habrás sufrido y estarás en otro punto. Punto que seguramente llegaré o habré superado. Pero sea cual sea. Me gustará saber tu opinión. ¿Estás pensando en montar una empresa?

Si, el porno online es machista, y tú y yo también: un mal uso del OSINT

Hola a todxs, si has llegado aquí es porque estás interesado en un artículo de opinión que he escrito sobre el machismo y la ciberdelincuencia de género en la pornografía online.

Para mayor confianza y garantía de que el archivo PDF no tiene nada de regalo os pongo una captura de pantalla y enlace del análisis y hash de virustotal:

virustotal-porno

Enlace: https://www.virustotal.com/es/file/95c0be64abd8c2708c1641c0821947b193ba5ddff3f59a31bb7c467c791c2ad4/analysis/1530303505/

El enlace para descargar el archivo completo es:

Si, el porno online es machista, y tu y yo también

Gracias.

Un saludo.

Ciudadanos y/o Empresarios [parte I]

cs-empresarios

 

Estoy 100% de acuerdo con las palabras de Jordi Évole en el programa de El Intermedio: “Estamos totalmente anestesiados con tantos casos de corrupción“. <<Y haré lo posible, e incluso lo imposible, si también lo imposible es posible>> (by M.Rajoy) para cambiar esta situación.

No debemos confundir las puertas giratorias con el tema que voy a tratar; quizás una buena lectura sobre ex-políticos con cargos en grandes empresas de la 15Mpedia puede parecerse mucho al siguiente planteamiento de mi estudio: analizar de forma automática a los diputados con el objetivo de obtener cargos en empresas en España y otros países. Además de relacionar adjudicaciones, fechas, facturación, etc.

¿Qué dice la Ley Orgánica del Régimen Electoral General?

En el actual artículo 157.1 de la Ley Orgánica del Régimen Electoral General establece que “el mandato de los Diputados y Senadores se ejercerá en régimen de DEDICACIÓN ABSOLUTA en los términos previstos en la Constitución y en la presente Ley (art. 157.1 LOREG) … (y que) el mandato de los Diputados y Senadores será incompatible con el desempeño, por sí o mediante sustitución, de cualquier otro puesto, profesión o actividad, públicos o privados, por cuenta propia ajena, retribuidos mediante sueldo, salario, arancel, honorarios o cualquier otra forma … ”

La LOREG, en sus artículos 157.4 y 159.3, establece excepciones al principio general de dedicación absoluta y el artículo 159.3 c de la misma Ley dispone que “las actividades privadas distintas de las recogidas en el apartado 2 de este artículo,.. serán autorizadas por la respectiva Comisión de cada Cámara …”. Por ello, los acuerdos de autorizaciones de compatibilidad que conceda la Comisión del Estatuto del Diputado o de Incompatibilidades en el Senado son muy relevantes a la hora de garantizar que el mandato de los Diputados se ejerza en régimen de dedicación absoluta y que, por tanto, no quede en entredicho el precepto legal.

Bueno si tienes aún dudas, puedes ver las siguientes imágenes extraídas de la siguiente web: http://www.juntaelectoralcentral.es/cs/jec/loreg 

 

 

¿Cuántos diputados de Ciudadanos en el congreso de España tienen un cargo en una empresa actualmente?

La investigación ha tenido las siguientes fases y procesos:

  1. Creación de una lista de nombres y apellidos de los 32 diputados y diputadas de Ciudadanos. Debemos destacar que tanto en la web del congreso, como en la web del partido (https://www.ciudadanos-cs.org/equipo) los nombres no están completos. La solución que encontré fue sencilla, todo gracias a Wikipedia. Cree un script en Python que fuera buscando con los nombres incompletos y detectara en los enlaces que me devolvía cual de ellos aparecía las palabras “político”, “política”, “diputado”, “diputada” y “Ciudadanos”. En el caso de retornar verdadero que guardará el nombre en un txt.
  2. Tras obtener el txt con todos los nombres reales de los diputados y diputadas de Ciudadanos he ido uno a uno buscando en el BORME sus nombramientos. De esta forma he conseguido saber desde el año 2008 hasta ahora ya que, con anterioridad el boletín del estado (boe.es) no lo facilita. He realizado dos procesos automáticos usando la herramienta, en versión Beta Dante Gates (dantegates.pro) y un script en Python que he hecho usando la API de LibreBorme (https://github.com/JWScr33d/diputadxs-empresas-borme).
  3. Ya tenemos las empresas donde han tenido cargos en España pero ¿y el resto del mundo? Aquí se nos complica la investigación. Sin embargo, gracias de nuevo a la herramienta Dante Gates podemos buscar la forma de obtener esos datos de manera automática en otros países. Aunque necesitaremos que verificar la información de forma manual, es decir, la cantidad de información con coincidencias con otras personas que se llaman igual es enorme y deberemos limpiar y verificar de forma manual.
  4. Analizar todos los resultados conseguidos y “ponerlo bonito” (no es mi especialidad) para subirlo al blog. La gran cantidad de información es abrumadora, por ello he decidido ir publicando poco a poco la información mientras voy ingiriendo y analizando todos los datos.

RESULTADOS

Tabla de diputadxs de Ciudadanos que han tenido algún cargo o actualmente siguen teniendo:

virustotal-resultado1

Enlace de descarga de PDF: resultados investigación de cargos en empresas en diputadxs del partido de ciudadanos

Dice Ana Pastor: “Estos son los datos y vuestras las conclusiones”.

Esto acaba de empezar e iré publicando como ya comenté poco a poco según vaya analizando toda la información.

Fuentes:

http://www.elmundo.es/espana/2015/04/27/553e0dd7268e3e2f348b4575.html

 

Juegos de Tronos con LexNET

Hoy es otro día más que, el mundo del derecho y de la informática están unidos. Aunque esta vez, quizás, por un motivo menos agradable y triste, porque se ha revelado una vulnerabilidad en la aplicación de LexNET que permite acceder a la bandeja de entrada de cualquier usuario cambiando el ID en la url. Para realizar dicha intrusión se deberá estar identificado dentro del sistema.

Sin embargo, pienso que no todos los lectores de este blog tienen conocimientos sobre esta aplicación. Por ello, vamos a empezar por su simpática y desafortunada definición:

¿Qué es LexNET?

Si buscamos “qué es Lexnet” en Google, rápidamente nos saldrá un cartel con una descripción extraída de la página de la administración de justicia, donde encontramos “intercambio seguro de información entre los órganos judiciales y una gran diversidad de operadores jurídicos“. Yo también añadiría Pastebin.

Pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general, de forma “anónima”. Muy usado en la fugas de información.

El intercambio de información no es el más seguro del mundo pero bueno… no obstante la confidencialidad y la integridad de los datos deja mucho que desear ya que, en la URL aparece un campo del ID del usuario. Si lo modificamos por otro usuario entrarías fácilmente a la bandeja de entrada de dicho usuario.

Y es que no sería nada raro que, ¿peritaje informático? Un peritaje informático en los servidores para identificar pruebas de accesos no autorizados, encontraría que, LexNET ha sido un bufet libre.

¿Cuánto ha costado la aplicación de LexNET?

La aplicación de LexNET es muy vieja, desconozco cuándo nació exactamente. Estaba desarrollada en C++ y en el año 2011 se presentó la nueva versión en Java.

Según la resolución firmada por Esther Arizmendi Gutiérrez a la solicitud de una persona que desconozco su nombre:

En la resolución indica: la aplicación LexNET ha costado seis millones cuatrocientos veintiséis,  cuatrocientos sesenta y cuatro euros con cuatro céntimos desde el veintitrés de agosto de 2010 hasta el 31 de agosto de 2016.

¿Quién ha desarrollado la aplicación de LexNET?

Tengo que reconocer que sin la resolución escrita por el Consejo de Transparencia y Buen Gobierno y un comentario escrito en un artículo de un blog llamado “Lexnet 7 pecados capitales“, habría sido complicado encontrar la empresa que desarrolló LexNET.

comentario-isdefe

En un principio, todo apuntaba hacia la empresa Novasoft Corporación Empresarial S.L presidida hasta el 19 de noviembre de 2012 por Francisco José Barrionuevo Canto – coincidiendo las fechas con la cesión que le concede SADESI.

Él ha sido investigado por la fiscalia de anticorrupción porque consideran que  incurrió en un delito de malversación de caudales públicos por varias supuestas irregularidades, piden 6 años de cárcel. No he encontrado información sobre la sentencia.

Novasoft responsable de la configuración e implementación de LexNET, tal como aparece en su página web, durante los meses de septiembre y octubre de 2011:

  • SADESI concede a Novasoft el ‘Servicio de Despliegue, Configuración, Formación y Soporte a la Implantación Lexnet en Juzgados y Colegios de Procuradores de la Comunidad Autónoma de Andalucía’.
  • La empresa RED.es otorga a Novasoft los ‘Servicios para la implantación de Lexnet en la Administración de Justicia de la Comunidad Valenciana’.
  • La Diputación Provincial de Granada concede a la empresa Novasoft la ‘Implantación y Formación del Sistema de Notificaciones LEXNET en Juzgados y Colegios de Procuradores de la Comunidad Autónoma Andaluza’.

Sin embargo, Novasoft no es la desarrolladora de la aplicación y para conseguir ese dato deberemos leer detenidamente, como capítulos de Juegos de Tronos se tratara, el documento que escribe Doña Maria Esther Arizmendi Targaryen (presidenta del Consejo de Transparencia y Buen Gobierno) y Don Antonio Dorado Lannister (secretario general de la Administración de Justicia).

INGENIERÍA DE SISTEMAS PARA LA DEFENSA DE ESPAÑA S.A, ISDEFE. Esa es la empresa pública, propiedad del Ministerio de Defensa Española que ha colaborado en desarrollado LexNET por un valor de 6.426.464,04 € ¿será así?.

Obtenido ya esta información, observamos que en la web de ISDEFE encontramos un formulario de las licitaciones abiertas, desérticas y adjudicaciones de subcontrataciones donde estará la empresa que realmente realizó el desarrollo o parte de él.

La aplicación de licitaciones de ISDEFE

Me dispuse a crear un bot que automaticamente descargará todos los pliegos e información de las adjudicaciones pero empezaron los problemas. NO FUNCIONA. El bot perfectamente, si no, los PDFs de los pliegos y licitaciones. Entonces decido buscar en Google usando el siguiente dork:

dork-lici-isdefe

Encontrando los siguientes documentos públicos, muchos usando la caché de Google porque actualmente (28/07/2017) no están operativos:

  • Listado de contrataciones mayores de 18.000 € de 2014, 2015 y 2016
  • Dossieres anuales donde aparece el proyecto de LexNET

No encontré ningún listado anterior a 2014.

11-06-2015-i-nercya17-09-2014-AVALON19-10-2015-AVALON

Los datos que aparecen son:

  • La empresa AVALON TECNOLOGÍAS DE LA INFORMACIÓN S.L fue adjudicada en 2 ocasiones por un total de 403.200,00 € y 23.040,00€ en los años 2014 y 2015
  • La empresa I-NERCYA INTELLIMENT SOFTWARE S.L fue adjudicada en 1 ocasión por la cantidad de 53.240,00€ en el año 2015
  • Recordamos que no he podido encontrar los años anteriores a 2014 o no existen

Conclusiones

Las conclusiones se las dejo a los lectores, existen un maravilloso formulario abajo donde pueden exponer su opinión o conclusiones. Simplemente decir, antes de nada que, desde el siguiente enlace podrás descargar toda la documentación que he encontrado:

https://www.dropbox.com/s/6rdfqpyob5a7qm0/BotEnTriana-JDT-LEXNET.rar?dl=0

Las fuentes utilizadas en el este artículo son:

  • Solicitud de acceso a información pública. Expediente 001-005871
  • Resolución de la anterior solicitud. Enlace.
  • Listado de adjudicaciones de la empresa Novasoft
  • Página web de ISDEFE
  • Aplicación creada para la investigación por QuantiKa14 llamada DanteGates
  • Dossieres de ISDEFE
  • Listado de adjudicaciones de 2014, 2015 y 2016

PD:¿Dónde están los 6 millones y medio?

Un saludo.

Donde esté un Trianero está Triana.

 

 

[OPINIÓN] Arcilla para el muro de la verdad sobre la muerte de Miguel Blesa

Este jueves, el Tribunal Superior de Justicia de Andalucía (TSJA) informó brevemente que “el Juzgado de Primera Instancia e Instrucción número 2 de Peñarroya-Pueblonuevo, encargado de la causa abierta por la muerte de Miguel Blesa, ha recibido el informe de la autopsia que se la he practicó ayer en el Instituto Anatómico forense de Córdoba, en la que se confirma que se ha tratado de una muerte por autolesión por arma de fuego”.

A lo largo de mi experiencia en casos de investigación (QuantiKa14), menores desaparecidos (Exo Security), estafas internacionales y crímenes informáticos (E-crimen), he agudizado un músculo compartido por todos los seres humanos; aunque solo es visible en pequeños destellos, algunos afirman haberlo encontrado en algunos familiares o amigos conocidos, es: -“si yo no tengo nada en contra de ellos, tengo un amigo que…” . El sentido común.

Nunca olvidaré el caso de una menor desaparecida que fuimos ayudar a localizarla. En su casa, al ver a toda la familia, y el padre dormido, porque trabajaba por las noches, – tu hija, lo que mas quieres, lejos de ti, desaparecida; y su cara de rechazo al ofrecernos a ayudar, gritaba: yo se donde está mi hija. Sentido común. Efectivamente, la menor estaba con su primo, el cual se pudo comprobar posteriormente que abusó sexualmente de ella. Ella tenia, recuerdo, 12 años. ¿Y qué te dice a ti querido lector el sentido común sobre la muerte de Miguel Blesa?

A mi, el mío me dice:

  • Lo han matado. ¿Venganza de alguna persona afectada por las preferentes, o enfadada, en general, por la gran cantidad de casos de corrupción? Es posible, recordemos que el lugar donde se encontraba no dispone, aparentemente, de medidas de seguridad. Un chivatazo de alguien de dentro, o alguna persona que conociera su paradero en ese momento, podría haberse atrevido a entrar para asesinarlo. En ese caso, si fuera real, quizás se podrían encontrar indicios de forcejeo, huellas, o imágenes de alguna cámara de seguridad.

  • Lo ha matado un amigo. Un asesinato romántico y planeado. El periódico El Mundo comenta en su web que en el lugar de su muerte estaba acompañado por “su amigo, un guardés, la mujer de éste, y un trabajador”. Imaginemos, por un segundo, que alguna de estas personas es su asesino. Es posible, ¿no? Al parecer, las entrevistas realizadas descartan esta posibilidad.

  • No ha muerto y todo es un teatro. Una escena, montada para vivir tranquilo de los acosos y escarnios públicos que estaba recibiendo por parte de personas cabreadas. ¿Esto también es posible? España es un país que cada día nos demuestra su lado más oscuro y mafioso. Ahora dispongámonos a ver la entrevista “La versión de Villarejo” en el programa Salvados.

  • Una vez descartado lo imposible, lo que queda, por improbable que parezca, debe ser la verdad – Sir Arhur Conan Doyle, El Signo de los Cuatro. Se ha suicidado.

Es un error capital el teorizar antes de poseer datos. Insensiblemente, uno comienza a deformar los hechos para hacerlos encajar en las teorías en lugar de encajar las teorías en los hechos. También citado por el personaje Sherlock Holmes aparece como tal en los relatos cortos y novelas de Arthur Conan Doyle.

Quizás sea cierta la autopsia que se la he practicado en el Instituto Anatómico forense de Córdoba, y se haya suicidado. Sin embargo, sin datos solo podemos teorizar, especular y sacar conjeturas que nunca sabremos si son ciertas.

El muro de la verdad, el que nos diría si estamos ante un suicidio o un asesinato, se compone de ladrillos, hechos de datos, de la arcilla de la investigación, de los hechos fríos, de la verdad. Y esa arcilla solo podremos obtenerla siguiendo algunas líneas de investigación que, a mi parecer, serían:

  • Obtención de las ubicaciones de los terminales móviles. Los de todas las personas cercanas en los últimos momentos de Blesa.

  • Peritaje informático en los ordenadores de Miguel Blesa. Las personas que se suicidan suelen tender a actitudes informáticas muy parecidas a las personas que desaparecen. Quizás en el historial de navegación, o recuperando archivos, exista alguna prueba interesante que clarifique todo.

 

Dichas líneas de investigación podrían proporcionar las siguientes pruebas:

  • Mapa de ubicaciones de todas las personas cercanas a los hechos. Imaginemos que, en la zona de la muerte (si no se encontró ninguna prueba de que el cuerpo fue desplazado), aparece que estaba también su amigo. Podría ser una clara prueba para sospechar.

  • El peritaje informático puede proporcionarnos conversaciones, claves de acceso a plataformas, redes sociales, emails Aunque, deduzco que será complicado, ya que, por sus implicaciones en otras investigaciones, como tarjetas black, podrían proporcionar conversaciones que, no serían de mucho interés para algunas personas. Sin embargo, con el objeto de la verdad de este hecho, podriamos obtener mensajes que mantuvo con terceros antes de decidir suicidarse. En el caso de ser así, podría aparecer algún archivo de confesión que despeje las dudas. La navegación puede ayudar a ver si visitó algún vídeo asociado a alguna emoción de su vida, búsquedas de hoteles, coches de alquiler, viajes fuera de España, etc. Pruebas que darían un salto a la investigación.

No obstante, desconozco como se realizan las autopsias de un cadáver, y tampoco soy la persona responsable de la investigación.

En fin, tal vez nunca sepamos la verdad. Desconoceré el 100% de las líneas de investigación que está llevando a cabo la Guardia Civil, así que no sé si todo esto ya lo están contemplando. Si siempre que existiera sospechas de un posible asesinado, el juez autorizara la investigación informática a través de los peritos informáticos, quizás hoy respiráramos algo más de verdad.

Para finalizar, lo que sí diré es: que ya existe un muro de datos, que sigue creciendo, y podemos concluir. Son las decenas de personas que se han suicidado por los desahucios. También me gustaría citar de nuevo a nuestro personaje tan querido y admirado por el público, Sherlock Holmes que dice:

Al contrario, Watson, lo tiene todo a la vista. Pero no es capaz de razonar a partir de lo que ve. Es usted demasiado tímido a la hora de hacer deducciones.

RansomWaPe v.1: primer ransomware para WordPress

Lo prometido es deuda. Ya había comentando en algunos sitios que llevaba tiempo trabajando en crear un pequeño ransomware para WordPress para usarlo en las diferentes charlas y talleres que doy sobre seguridad de este gestor de contenido. Por ejemplo la del próximo 12 de diciembre en el congreso Sec/Admin.

ransomwapeMi finalidad es totalmente educativa y para realizar las diferentes pruebas he usado un pequeño laboratorio en casa con un Apache, MySql y WP montados en local. El plugin ha sido bautizado con el nombre de “RansomWaPe“, he decidido llamarlo así para jugar un poco con las letras principales de “WordPress” y su forma abreviada de escribirlo “WP”, con la funcionalidad del plugin que es ransomware.

¿Qué es un ransomware?ransomware

Buscando en Google encontramos un montón de información. Quizás nos venga a la cabeza rápidamente son el famoso CryptoLocker/Cryptowall y la noticia de los “nuevos” ransomware orientados a servidores linux. También el conocido virus de la policía que hemos visto como ha ido evolucionando adaptándose para engañar a las víctimas.

Volviendo hablar del plugin este solo podrá ser utilizado en caso de post-explotación de una web con WP. El atacante instalará el plugin y automáticamente al activarse se cifrará los contenidos y títulos de las entradas del blog. De momento en esta versión solo cifrará eso aunque se puede ampliar a todo el contenido de la base de datos, sin afectar al funcionamiento del sistema.

En este caso tendremos 2 partes: el plugin y el servidor con la API que escuchará las peticiones de las victimas devolviendo la clave de cifrado. Se guardará junto al ID, URL de la víctima y hora de la inserción de los datos de las entradas en la base de datos

FUN-ransomwape

Como podéis ver el funcionamiento es muy simple. Algunas de las  mejoras que se pueden aplicar es el cifrado de la base de datos del servidor anticipando que si se llegará a encontrar el servidor no puedan tan fácilmente obtener las claves para descifrar los datos. También se podría pasar la petición de la víctima por un tunel de tal manera que dificulte el rastreo de las comunicaciones cliente-servidor. Y así mil cosas…

Más adelante publicaré un plugin anti-ransomware para WordPress y varias entradas dedicadas al forense en WordPress que está siendo atacado o ha sido atacado. Todo esta información estará con antelación en los diferentes cursos y talleres que doy. Si estás interesado en asistir alguno puedes enterarte a través del blog de QuantiKa14 o mi Twitter.

Os dejo un vídeo del funcionamiento del bichito.

Por lo demás deciros que también publicaré un video de como funciona el código para las pequeñas modificaciones que se pueden hacer y la instalación del servidor. ¡Un saludo!

descargar

 

 

Wecino.py: IP REVERSE AND WP DETECT

Saludos, hoy vengo a hablaros con esta segunda entrada de este blog de una pequeña idea que me entro para uno de mis pequeños minions (bots) de Triana.

Un servidor web se puede configurar para servidores con múltiples hosts virtuales desde una única dirección IP. kcms1Esta es una técnica común en muchas webs y puede ser una excelente manera de ampliar la superficie de ataque cuando se va auditar un servidor o aplicación web. Por ejemplo, si el target principal objetivo parece ser seguro podemos ser capaz de obtener acceso al sistema al atacar a un sitio menos seguro alojado en el mismo servidor, evitando así las medidas de seguridad de nuestro objetivo principal.

Sabiendo esto vamos a pensar también en la posibilidad de no solo tener un listado de las webs que estén alojados en el mismo servidor si no saber si cada una de esas webs usan algún gestor de contenido conocido. Cuanta más información obtengamos para posteriormente encontrar vulnerabilidades es bienvenida por lo cual he creado un script que lista estos dominios y accede a cada web buscando características que puedan darnos información sobre que CMS usa. 

De momento esta es la versión 1.0 y la detección solo es para las webs que usan WordPress en las próximas versiones iré implementando más gestores de contenido como: Joomla, Drupal, Moodle, Prestashop, etc.

La detección del WP es también bastante sencilla asunto que debo mejorar ya que, de momento lo primero que hace es buscar en el código “xmlrpc.php” y si es positivo extraer la versión. El xmlrpc.php es el archivo PHP que usa con ese nombre WP para la publicación de post remotamente a través del protocolo XML-RPC.

Una definición sencilla para WECINO.py es: escaner de páginas webs alojadas en el mismo servidor y detección de CMS y vulnerabilidades.

¿Vulnerabilidades? si, quiero implementar en la próxima versión que después de detectar que gestor de contenido use permita pasar un escaner de vulnerabilidades de plugins, componentes y themes.

Para descargar Wecino.py puedes hacerlo desde el siguiente enlace:

descargar