12 julio 2015

Engrupir es fácil


Anche me quedé hasta tarde, muy entretenido, leyendo los mail de Hackers Team que se publicaron en Wikileaks, creo que también es público el Github de la empresa, eso si que sería gravísimo porque allí estarían los desarrollos y cambios del código, documentados. Creo que eso basta para enterrar a todos los productos, a la reputación de la empresa y su gente.

La venta a DEMTEL
Con referencia al negocio con Chile hay cientos de mail, especialmente de la venta que hicieron al Departamento de Monitoreo de Telecomunicaciones (DEMTEL) de la PDI, es un festín leerlos. Alex Velasco, el tipo de Hacking Team que vino a hacer la demostración y estuvo capacitando a los PDI se refirió a ellos como "los clientes no son gente de tecnologías de información, no son estúpidos pero de bajo nivel, hay entusiasmo, espero que les dure".

En los mail se nota la preocupación por el bajo nivel técnico de la gente de la PDI con que estaban tratando y que tal vez ni entendían lo que estaban comprando "tengo la impresión (humilde impresión) de que tal vez la organización DEMTEL no es la típica que sabra utilizar plenamente nuestra solución. Tenemos el riesgo de que no lograran utilizar la herramienta de forma eficiente…Me explico: No parecen tener la capacidad de acercarse a sus targets, de conocer un poco a sus targets (Social Engineering), y hasta dicen abiertamente que lo único que tienen es el numero telefónico del target…Viniendo de parte de una organización que hace intercepcion telefónica solo con el numero telefónico, parece normal…pero para nuestra herramienta, no es suficiente…También, la desproporción entre sus posibilidades de infección (ni física, ni WIFI, ni ISP) y los números de agentes (3000) hace que no estamos hablando el mismo « idioma » con ellos".

Parece que era un control remoto enchulado nomás
Ese mail dice bastante sobre el software Galileo que vendieron. Parece claro que ese programa necesitaba que se infectara físicamente el equipo a monitorear, ya sea por Wifi, una USB o a través del proveedor de Internet. En otros mail donde hablaban de los requisitos para las demostraciones mencionaban la necesidad de tener direcciones IP fijas y conocidas (el decir el mismo problema del antiguo VNC que comentamos antes).

Al parecer la PDI requería la capacidad para colocar 3.000 agentes, cosa que los proveedores ponían en duda, "parece que no estamos hablando el mismo idioma" es una forma elegante de decir "no saben donde están parados".

Sin orden judicial
Mas interesante es la respuesta de Lorca, el intermediario chileno de la venta:
"Tal como indicas, este cliente no corresponde al perfil común para la solución Galileo, pero tal como nos dijo el jefe del Demtel la idea es usarla como una herramienta de apoyo para obtener los datos IP de los clientes y acceso a información que no obtendrán a través de una orden judicial".

Bueno, no es para escandalizarse pero queda claro que querían usar el software para espiar sin necesidad de obtener ordenes judiciales, requisito legal para las escuchas telefónicas, o sea patente de corso completa.

¿El sourcecode se puede revisar en una semana?
Uno puede pasar horas entretenido con los mail, Hackers Team permitía a los clientes revisar el código fuente, con un costo adicional  y "asesorado" por técnicos de la empresa, el software tenía 500.000 líneas de código y en aumento según ellos, miren esto:

"Srta. Natalia, Hemos recibido su solicitud de inspection del source code. Sí, por supuesto esto es posible. Esto es un servicio que ofrecemos a nuestros clientes que lo soliciten. Habrá un costo involucrado , ya que toma por lo menos un par de ingenieros para estar con su grupo durante una semana completa .Pero, para ser claros, la mejor manera de garantizar la seguridad de su sistema es de estar siguiendo todos los requisitos que les proponemos. Siempre estamos enviando seguimientos de los requerimientos y estamos abiertos a preguntas y ayuda si es necesario. Lo que hace que el sistema sea vulnerable es, no está siguiendo nuestras recomendaciones".

O sea una semana para revisar el código de 500.000 líneas y el mantra de la empresa que era "confíe en nosotros".

Ignorancia
Me parece que antes de meterse a jugar a los hacker, en el gobierno primero que todo debieron tomarse la molestia de reclutar un grupo de expertos en redes y en seguridad informática. Y si no encuentran entonces debieron formarlos, hay gobiernos amigos que demás les ayudarían. Nada de eso es magia negra y son cosas por lo general aburridas (protocolos parecidos a la prevención de riesgos industriales) pero importantes, que si no se manejan bien quedan expuestos a catástrofes como lo que les pasó con los de Hackers Team. Y ojo, se supone que esos eran expertos en seguridad.

Bottom line
Como conclusión parece claro que cualqiera puede engrupirse al gobierno de Chile en estas cosas, en este caso el intermediario chileno don Jorge Lorca era un técnico de la empresa Tecnodata, que después de algunos fiascos de esa empresa se independizó y quedó con acceso e influencia a los más altos niveles de seguridad y espionaje en el país. Si el gobierno hubiese tenido un equipo técnicamente calificado esto no habría pasado y si no se apuran en armar uno puede vovler a pasar lo mismo, o tal vez algo peor.

17 comentarios:

  1. Gente que no sabe hacer la pega contratando a gente que no sabe hacer la pega. Ahora que lo pienso eso resume gran parte de la máquina laboral en Chile.

    ResponderBorrar
  2. jaja ¡cierto! parece que al final todo se reduce a eso: improvisadores colocados por esas cosas del azar en puestos donde no tendrían por que estar. En todos los niveles.

    ResponderBorrar
  3. Creo que un fragmento de una canción de Depeche Mode puede resumir esto:

    "It was the wrong plan
    In the wrong hands
    The wrong theory for the wrong man
    The wrong eyes on the wrong prize
    The wrong questions with the wrong replies"

    Naturalmente el título de la canción es Wrong.

    ResponderBorrar
  4. Este Lorca ha ganado un monton de plata con lo que vende....a los pacos les vendio una solucion que fue un fiasco y aun sigue con su empresa..vivo el wn....Oye tomas manda tu cv a la PDI en una de esas pillas pega...pagan bien...

    ResponderBorrar
  5. ¡En una de esas me dejan adentro jajaja!

    ResponderBorrar
  6. Buéh, como dije antes, el problema no está en contratar servicios externos. El expertise en seguridad informática es ínfimo, tanto en la academia, como en la industria, y más aún en las comunidades de código abierto (Heartbleed estuvo dos años sin ser descubierto, a vista y paciencia de todo el mundo).

    Efectivamente todo el código fuente de HackerTeam está disponible para mirarlo en Github. Hay cosas muy interesantes.

    Lamentablemente hay muy pocos expertos en Chile sobre seguridad informática. Es por eso que deben confiar en empresas con experiencia en el rubro (y aunque los hayan hackeado, eran líderes en el rubro. Hay que ver que es difícil el tema).

    ResponderBorrar
  7. No debería haber déficit de gente en seguridad informática, hay muchos recursos para formar gente y sin duda que hay espacios de cooperación para que otros países capaciten gente prácticamente gratis. Si no hay es simplemente porque no se han preocupado del tema, nada más que eso. Es cierto que la seguridad 100% no existe en ninguna parte pero ese no es el tema, sino que gente con conocimientos menos que básicos estándecidiendo compras y usando software como si fuera magia negra, eso es super peligroso. Una cosa es que siempre hay riesgo y otra muy diferente que no haya interés en enfrentar los riesgos de manera profesional.No se trata de tener expertos a lo Bruce Schneier, basta con gente que sepa de redes y conozca bien los riesgos de la seguridad, que sepa diseñar e implementar políticas y cosas así, nada de otro mundo.Lo peor es creer que la inseguridad tiene que ver con genios que hacen vodoo o brujerías de otro mundo.

    Peor todavía que se pongan a comprar esa clase de cosas sin tener idea. Hacker Team dicen tener un software mejor que Bad USB que ya es bastante complicado ¿que impide que lo hayan colocado en los equipos de la PDI durante las pruebas?, esos dejan a los equipos comprometidos de manera permanente, ni formateando el disco se limpian porque modifican el firmware del equipo.

    Hacker Team pueden haber sido líderes en programas de control remoto pero dudo que fueran líderes en seguridad, todo lo contrario, da la impresión de que la falla que tuvieron no fue técnica sino de falta de una política estricta de gestión de su propia seguridad. Una cosa es desarrollar software pero implementar políticas de seguridad es mucho más que eso.

    A propósito los mail son estupendos para aprender problemas de implementación que son el talón de Aquiles en la seguridad de equipos, hablan del GPG, del Truecrypt, del Bad USB, tienen muchos correos intercambiando información sobre seguridad y riesgos

    ResponderBorrar
  8. Algo que no entiendo es porqué usaban GitHub y no un sistema propio de control de versiones, ¿los servicios de gobierno u otros críticos usarán GitHub también?

    ResponderBorrar
  9. Github parece una buena solucion. Puedes montarte el tuyo propio en tu propio server y acepta un gama bastante amplia de tipos de accesos y es transparente a la encriptacion via ssh tunelling.

    MV


    ResponderBorrar
  10. A mi me da susto el asunto seguridad en los bancos. Recien hace un año autorice transferencias a terceros desde la web, previo tomar el seguro de fraude , eso si. Se que el seguro no es tan seguro, pero tambien se que el banco, al menos el mio, respondera por su propia credibilidad.

    ResponderBorrar
  11. Cuando terminé mi carrera de Redes, lo primero que hice fue postular a la PDI. no me aceptaron, no por mis capacidades, sino porque "no era ingeniero" (FYI soy técnico).

    Un ingeniero actualmente es casi similar o menos práctico que un técnico. ¿a que me refiero? un técnico está donde las papas queman, lleva gran parte de su vida tanto detrás como al frente de un equipo, siendo que el ingeniero es más teórico que práctico. (que no se me ofendan, los ingenieros. Conozco técnicos que le vuelan la raja a muchos ingenieros salidos tanto de la UC, de la Chile y del Incapaz, debido a la iniciativa de perfeccionarse libremente)

    La DEMTEL, está en pañales. mal guiada por personajes que no saben donde están parados ni como llegaron a esos cargos, aún habiendo gente más idónea para ocupar esos cargos. Si la PDI dejara de ser una "versión ratón de cola pelá" del FBI y fuese mucho más seria, Galileo no habría aparecido...

    ResponderBorrar
  12. Wilson, a menos que seas multimillonario la seguridad de los bancos noe s tema, las transacciones son razonablemente seguras y lo más que puedes perder es un poco de plata, la mayoría de las veces en caso de fraude es el banco el que apaña.

    Jose, el asunto de técnicos, ingenieros de ejecución e ingenieros civiles no tiene relación con las capacidades profesionales, yo no he trabajado mucho pero si he conocido bien el medio por distintas circunstancias, te aseguro que todos salimos en pelota después de 2, 4, 6 o más años de estudio, cuando empezamos a trabajar recién empezamos a aprender algo. Varios de mis compañeros tienen empresa, algunos bastante importantes o trabajan en empresas grandes y el título en estos temas no diferencia para nada, si la experiencia y la reputación profesional que pesan mucho. Conozco a tçecnicos que tienen ingenieros bajo su cargo, especialmente si tienen experiencia y etc. etc.

    Hay cargos -por ejemplo en el sector público y en las mineras- que están encasillados con el título o grado que tengas, pero son los menos. Creo igual que la PDI y en general el estado tienen una enorme falta de gente preparada en temas de seguridad, son super vulnerables, yo estuve en Poder Judicial varios años, fui perito judicial y trabajé con investigaciones y es como para asustarse, especialmente el poder que tienen los peritos en un juicio criminal.

    No costaría nada capacitar gente y especialmente a técnicos en estas cosas, estos no son trabajos de ingeniería porque no hay que diseñar nada, se trata de integrar y adaptar soluciones y a veces desarrollar pero con conocimiento de lo que están haciendo, cosa que hoy no existe

    ResponderBorrar
  13. Tomás:
    Respecto a lo que dices en tu tercer parrafo, tienes razón y eso ha sido un mal endémico, no solo de la PDI, sino que también del Poder judicial, ya que el personal que trabaja sobretodo en lo relacionado con el cibercrimen, no han sido los más preparados. de ahí algunas chambonadas respecto a la persecución de estos casos.

    Bien dices en que "no costaría nada capacitar gente y especialmente técnicos", pero es la burrocracia la que impide que eso ocurra.

    ResponderBorrar
  14. Probablemente ni existe interés, en cuando quede un desastre grande recién entonces se van a mover por capacitar gente y todo eso, por mientras la cosa seguirá a nivel amateur nomás

    ResponderBorrar
  15. No se puede comparar un tecnico a un ingeniero los cft e ip aprueban al 99 % de los concursantes en las u tradicionales cuando yo estudie logrados solo un 20% ese filtro asegura algo grande Usach

    ResponderBorrar
  16. Luis, nunca me ha gustado eso de vanagloriarse porque saliste de la universidad x, y o z, me parece que es vestirse con ropa ajena tal como los tipos que se "enorgullecen" de sus antepasados, es puro esnobismo. Los prefesionales solo valen por su calidad individual, tengo amigos que han hecho el pregrado (que es el que vale) en universidades muy prestigiosas y profesionalmente no valen nada y viceversa.

    Sin embargo comprendo que alguien quiera a la universidad o instituto donde estudió, yo también quiero a la mía como se quiere a un hijo tonto o a una hija fea, con sus miles de defectos, uno no puede desconocer de donde viene. Todas las universidades tradicionales en Chile son malas, cuevas de ladrones y mediocres, he tenido oportunid de conocer la mayoría a fondo por distintas circunstancias, el sistema universitario en Chile es un fraude por culpa del monopolio. De las privadas no tengo idea, pero deben ser parecidas porque al final es la misma gente.

    Creo que hay solo cuatro que hacen esfuerzo por salir de esa mediocridad: la Católica, la Santa MAría y en menor medida la de Concepción y la de Talca. Eso no quiere decir que sean mejores sino que por lo menos tienen grupos que aspiran a salir de lo mediocre. A mi me vale un huevo lo del "filtro" yo estudié con un sistema extremadamente selectivo y de mi promoción salieron igual por igual tontos y buenos, eso no es marca de calidad ni mucho menos.

    Nunca hay que calificar la calidad profesional por los papeles, ese es un error parecido al que me dijeron una vez "esta mina es tan tonta, que si aparece un tipo bien vestido, con moto grande y un reloj caro le pasa 20 cheques malos y se los recibe, al otro día le puede pasar 20 más y así sucesivamente"

    ResponderBorrar
  17. La usach...pffff...la USACH vende los gloriosos titulos de ingenieria en la noche a todos esos alumnos de CFT que no pudieron entrar por puntajes o lucas. Y pa ganar plata lo unico que se necesita es ser vivo...si eres ingeniero o tecnico da lo mismo (ver caso JORGE LORCA)...el wn vivo no tiene limites en este pais sino preguntele a PIñera...eso.

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"