first
  
last
 
 
start
stop

En construcción

Buceando con tiburones

Este verano nos ha agasajado con uno de esos incidentes de seguridad que dan para escribir miles de “posts” (antes, “hacer correr ríos de tinta”): Hacking Team, el flamante buque insignia del ciberespionaje italo-europeo, ha sido hundido. Una fuga de 415 GB de datos así lo atestigua. De las entrañas de esa otrora opaca empresa de ciberespionaje han salido 0-days, malware de monitorización remota, avanzadas infraestructuras (botnets) de Mando y Control, y un sinfín de confirmaciones de lo que en el escenario mundial ya se sospechaba que estaba ocurriendo. Es hora de prestar un poco de atención a estos hechos que, sin duda, deberían enseñarse en todas las academias que quieran hablar de Seguridad Informática para servir de ejemplo de lo que no hay que hacer.

 

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

 

Cuando las pertinaces olas de calor de este verano reinaban sobre todo el sur de Europa, del ducado antaño gobernado por la Casa Sforza1, el 6 de julio partía un simpático twit hacia la más veloz de las redes sociales en el que se decía: “Since we have nothing to hide, we’re publishing all our e-mails, files and source code”. Junto a esta sorprendente declaración había un enlace a un fichero torrent2 previamente hospedado en el servicio de almacenamiento ciego MEGA y que permitía recuperar, después de cierto tiempo, 415 GB de datos antes privados de la empresa italiana Hacking Team3.

 

Hacking Team es una compañía tecnológica italiana cuya sede central está en la calle del Rio Moscova 13 de la ciudad de Milán4. Su menester es vender software dedicado exclusivamente a operaciones, herramientas ofensivas y de vigilancia. Sus clientes, en principio, son Gobiernos, Policías y Agencias de Inteligencia.

 

A la vista de su monoproducto, los trabajadores de Hacking Team son “RATeros”, es decir, que venden RATs; también conocidos como “Remote Access Terminals”. Este tipo de software indetectado permite al que lo controla, monitorizar las comunicaciones de todos los usuarios de ese equipo, acceder a todos sus ficheros y correos antes de que sean cifrados o después de que son descifrados, registrar conversaciones Skype o VoIP en general, activar de forma remota micrófonos y cámaras que estén presentes en el dispositivo, obtener datos de localización (GPS) y obtener información cinemática (acelerómetros, giróscopos y brújulas) y “plantar” información comprometedora para el usuario, entre otras cosas.

 

En octubre de 2012 esa compañía italiana fue criticada5 por incumplir su declarada deontología6 y vender esas tecnologías tan sensibles a gobiernos poco respetuosos con los derechos humanos, y un tanto alejados de los que se entiende por Democracia en Occidente. Por su parte Hacking Team siempre lo negó y se defendía de que eso pudiese pasar diciendo que siempre se reservaban la capacidad de desactivar su software si era utilizado de forma no ética.

 

En junio de 2014 el Citizen Lab7 de la Universidad de Toronto no dejó espacio a la duda, describiendo con detalle la funcionalidad, arquitectura y modo de operación8 del software de HackingTeam llamado Da Vinci, Galileo9 o “Remote Control System” (RCS).

 

Por el momento no está claro a quién atribuir la autoría de este asalto. El mismo día 6 de julio un tal Phineas Fisher se atribuyó en su cuenta de Twitter10 el asalto a Hacking Team. Este mismo actor se atribuyó otro asalto11, un año antes, a la compañía britano-germánica Gamma Group, que vende un producto muy similar llamado Fin Fisher12 y 13.

 

La atribución de los ciberataques es extremadamente difícil incluso cuando hay un sospechoso claro o un confeso. Los verdaderos autores de los ataques normalmente están ocultos detrás de múltiples capas de engaño y confusión. Para identificar al atacante, hay que seguir rastros e identificar procedimientos no obvios que hayan sido vistos en ataques similares realizados por grupos ya identificados.

 

Hacking Team probablemente fue víctima de un APT, por lo que los 415 GB de botín debieron ir saliendo poco a poco de la sede en la calle del río Moscova. Algunos piensan que el atacante o atacantes puedan estar relacionados con WikiLeaks ya que fue este portal de los primeros (8 de julio) en publicar en su cuenta de Twitter enlaces al material confiscado.

 

Algunos apuntan como posible atacante al hacker ruso Yama Tough, miembro del grupo indio de hackers Lords of Dharmaraja14. Tough fue el responsable de difundir el código fuente del antivirus Norton de Symantec al no conseguir 50.000$ de esa compañía. También ha estado involucrado en la extracción de documentos de servidores militares de la India en 2014. En febrero de 2015, esa misma fuente dijo que en realidad fueron hackers rusos, y no norcoreanos, los que asaltaron la red de Sony Pictures15 y que seguían teniendo acceso a ella16.

 

De todos modos, esta asignación de la autoría del ataque a Hacking Team es mera especulación y así lo será hasta que los que realmente perpetraron ese asalto quieran revelar su identidad y den pruebas incontestables de ello. Otras alternativas serían 1) una compañía competidora que quisiera a los italianos fuera del mercado, 2) activistas anti espionaje al estilo “Big Brother”, defensores de la intimidad y los derechos humanos, que los hay y son muchos, o incluso 3) un estado ciberofensivo (EE. UU., Rusia o China) que quiere dar una lección/advertencia a esos pequeños emprendedores europeos que quieren colmar el que consideran su mercado, con tecnologías que distorsionan las suyas (en este caso, las operaciones serían siempre de falsa bandera17). Por el momento, cualquier posibilidad está abierta.

 

Gran parte del material extraído de Hacking Team es accesible por Internet 18, y contiene: datos de identificación personal y familiar de todos los empleados, datos comerciales de los clientes, la contabilidad comercial de la empresa, los movimientos de las tarjetas de crédito, las declaraciones de impuestos, pólizas de seguros, mapas de su red telemática, ficheros de usuarios y sus (penosas) contraseñas de un tal Pozzi19, algún anillo de claves privadas GPG, registros de audio con interceptaciones (¿de prueba?), código fuente y manuales de todo el sistema RCS, información sobre la competencia (Fin Fisher), varios 0-days frescos que hubo que parchear20 tan pronto salieron a la luz, backup de todo el Whatsapp de un tal Romeo21, etc.

 

Bajo el nombre “Hacked Team”, en el servicio GitHub22 se pueden encontrar el código de 53 programas y scripts provenientes del botín en el asalto a Hacking Team. Esas herramientas de espionaje incluyen exploits para programas universalmente utilizados en páginas web, como es el caso del Adobe Flash, así como software para descubrir e interceptar contraseñas.

 

Ausencias anómalas

 

A pesar de la cuantía del material difundido, no sería de extrañar que ése no fuese todo el material conseguido por el asaltante ya que no tiene la distribución esperable para una empresa. De hecho, es raro que sólo se disponga de 1) información personal de los trabajadores, 2) información mercantil de sus relaciones con sus clientes, y 3) toda su propiedad industrial plasmada en el código fuente de su producto estrella. Es extraño que no haya datos sobre las operaciones que éstos estaban llevando a cabo con sus clientes, sobre todo cuando la herramienta Galileo utiliza redes de servidores controlados por Hacking Team. En esas instalaciones debería haber un montón de registros de log que hubiesen sido mucho más jugosos para la inspección pública y universal.

 

Al no conocer detalles del asalto, no podemos saber qué medidas de protección tenía instaladas Hacking Team, pero se puede ver en el volcado que algunos ficheros de tesorería tienen contraseña, pero también podemos encontrar listas enteras de pares usuario contraseña que abren a cualquiera toda la red de la empresa. Muchas de esas contraseñas son simplemente hilarantes (Passw0rd, Ht2015, etc.), lo cual sorprende mucho viniendo de una empresa que se pavoneaba en el sector de la (in)seguridad informática.

 

Lo que parece claro es que la empresa empezó, como muchas startups, sin ninguna medida de seguridad (¡ya se sabe, cosas de amigos, colegas y colaboradores!) y luego, a partir de 2012, todo se fue compartimentalizando 23, profesionalizando, según empezaban a entrar importantes cantidades de dinero en las arcas. De hecho, esta rigidez y cambio de filosofía en aras del negocio fue lo que hizo que alguno de sus responsables de I+D y otros trabajadores se marchasen de la empresa en marzo de este año y montasen otra en el campo contrario, en el de la Ciberdefensa (ReaQta24).

 

La reacción25 meditada de David Vincenzetti26, CEO de Hacking Team, al asalto fue la de denunciarlo formalmente y ponerse en manos de las autoridades que habrán de investigar lo sucedido. Aun reconociendo la autenticidad de lo filtrado, Vincenzetti le quita importancia a lo sustraído diciendo que, en otoño de 2015, dispondrán de una versión completamente nueva del sistema RCS que hará obsoleta la actualmente publicada. Puede ser que, efectivamente, tengan material para no desaparecer inmediatamente del mercado, pero está por ver cuál será la reacción de los clientes naturales de este tipo de empresas, frente a alguien que tampoco ha sabido proteger su casa.

 

Contabilidad y expansión

 

Los datos de la contabilidad comercial que se han publicado indican que, desde aproximadamente 2010, la compañía habría facturado 41.871.712 €, lo que dejaría un ingreso medio de unos 8,3 millones al año. Sin embargo, en la evolución de la facturación se ve que ese régimen sólo se alcanzó a partir de 2012.

 

En cuanto a las 37 diferentes nacionalidades de los clientes, los diez mejores representan el 62 % de todo el negocio. Ordenados de mayor a menor, esos clientes son: Méjico (5,8 M€), Italia (4,0 M€), Marruecos (3,1 M€), Arabia Saudí (2,5 M€), Chile (2,3M€), Hungría (1,9 M€), Malasia (1,9 M€), Emiratos Árabes (1,8 M€), EE.UU. (1,5 M€) y Singapur (1,2 M€).

 

Si quitamos a Italia como cliente de Hacking Team, por aquello de que “el producto nacional siempre es mejor”, las ausencias de las grandes potencias europeas (Inglaterra, Francia y Alemania) junto con la presencia residual de unas pocas naciones europeas menores (Luxemburgo, Polonia, Chequia y España) hace sospechar que el mercado de Hacking Team no es el europeo. El mercado de la Unión Europea debe estar copado desde hace tiempo y suficientemente nutrido con tecnologías provenientes de los EE.UU., por lo que las nuevas empresas independientes de ciberespionaje tienen poca cancha en esos escenarios. Sin embargo, en aquellas naciones donde el atractivo de los EE.UU. es mucho menor, Latinoamérica27 y Países Árabes28 principalmente, Hacking Team sí lograba colocar sus productos.

 

Aún con todo, un prometedor panorama

 

Con el paso del tiempo iremos conociendo más detalles de este evento veraniego que ha traído a primer plano esas pequeñas empresas, todas ellas nacidas en el Siglo XXI, que quieren colmar el naciente mercado del espionaje tecnológico y de la denominada Seguridad Ofensiva que vendrá detrás. Sin embargo, de la autopsia del botín de Hacking Team, podemos ver como “en casa del herrero, cuchara de palo” y que todavía hoy la seguridad se va incluyendo en el sistema según van apareciendo los riesgos. De nada está sirviendo repetir que la seguridad debe ser parte del diseño inicial de los sistemas y de las empresas; si los que se dedican a esto, los que deberían dar ejemplo, incumplen flagrantemente ese sencillo principio. Lo único que tiene de positivo esta lección es que ellos, esos a veces prepotentes29 actores que amenazaron con cierto éxito el anonimato de redes como Tor 30, también han caído y han sufrido la misma humillación que otros muchos sufrieron al ver todas sus intimidades en los sumarios que les acusaban y, algunas veces, les encarcelaban y torturaban.

 

La caída de Hacking Team no cambia en nada el prometedor panorama del espionaje tecnológico sin tapujos. Con la excusa de ser herramientas para las Fuerzas del Estado (CNI, MCCD, Policía Nacional, Guardia Civil, etc.) y que la opinión pública parece tolerarlas gracias a una perfecta desinformación y a su creciente e imparable narcolepsia, alguien va a tener que fabricar esas herramientas.

 

Los grandes jugadores (EE.UU., Rusia y China) deben dejar sus mejores creaciones para el combate hegemónico según sus intereses geoestratégicos, por lo que no van a ayudar a sus funcionarios en batallas menos “universales” como puedan ser el combate del crimen y la protección de la seguridad de sus ciudadanos. Por ello, el ciberespionaje se industrializa y aparece un ecosistema de empresas similares a Hacking Team, que precisan estar en continua evolución, en continuo avance para que, como los tiburones, no lleguen a asfixiarse.

 

Probablemente, el incidente Hacking Team no sea más que un tiburón que ha dado una dentellada a otro, o una empresa que, envalentonada por el color de los euros, ha ofendido sensibilidades de otras u otros que le han querido dar una lección de humildad o retirarlos de ese mercado que otros pronto se repartirán.

 

El ciberespionaje es como bucear con tiburones, no hay lealtades de ningún tipo, no hay deontologías que valgan más que el papel en el que estén escritas (si es que lo llegan a estar en papel), solo hay algo importante: el olor de la sangre.

 

 

1 Ver https://en.wikipedia.org/wiki/House_of_Sforza
2 Ver https://en.wikipedia.org/wiki/Torrent_file
3 Ver https://en.wikipedia.org/wiki/Hacking_Team
4 Ver https://www.google.es/maps/@45.476444,9.191439,3a,49y,177.17h,92.24t/data=! 3m6!1e1!3m4!1sLHPFehX_MbuKPQFktwY9iQ!2e0!7i13312!8i6656!6m1!1e1
5 Ver https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targetingof- dissent/
6 Ver http://www.hackingteam.it/index.php/customer-policy
7 Ver “30C3: To Protect And Infect - The militarization of the Internet” en https://youtu. be/XZYo9TPyNko
8 Ver https://citizenlab.org/wp-content/uploads/2015/03/Police-Story-Hacking- Team%E2%80%99s-Government-Surveillance-Malware.pdf
9 Ver https://youtu.be/f3hWuYwPeK4
10 Ver https://twitter.com/GammaGroupPR/status/618250515198181376
11 Ver https://www.reddit.com/r/Anarchism/comments/2cjlop/gamma_international_leaked/
12 Ver https://en.wikipedia.org/wiki/FinFisher
13 Para obtener los 40 GB del botín https://www.dropbox.com/s/n7xch2vqc9p5x3e/finfisher. torrent?dl=1
14 Ver https://en.wikipedia.org/wiki/Lords_of_Dharmaraja
15 Ver http://www.securityweek.com/russian-hackers-breached-sonys-network-report
16 Ver https://taia.global/wp-content/uploads/2015/02/SPE-Russia-Connection_Final.pdf
17 Ver https://en.wikipedia.org/wiki/False_flag
18 No debería haber ningún ejecutable, pero cuidado. Ver http://ht.transparencytoolkit.org/
19 Ver http://ht.transparencytoolkit.org/Amministrazione/07%20-%20PERSONALE/06%20- %20Documenti%20Personali/Pozzi/Carta%20D%27%20Identit%e0%20e%20CF.pdf
20 Por ejemplo, el CVE-2015-5119. Ver http://www.cvedetails.com/cve/2015-5119
21 Ver http://ht.transparencytoolkit.org/Amministrazione/07%20-%20PERSONALE/06%20- %20Documenti%20Personali/Romeo/Carta%20d%27Identit%e0.pdf
22 Ver https://github.com/hackedteam?tab=repositories
23 Ver http://arstechnica.com/security/2015/07/italian-prosecutors-investigate-formerhacking- team-employees-for-role-in-hack/
24 Ver https://reaqta.com/
25 Ver http://www.hackingteam.it/index.php/about-us, News Realease of July 14, 2015 “Statement from the CEO of Hacking Team, David Vincenzetti”
26 Ver https://it.linkedin.com/in/vincenzetti
27 Brasil, Chile,Colombia, Ecuador,Honduras, Méjico y Panamá.
28 Bahrein, Egipto, Etiopia, Líbano, Malasia, Marruecos, Nigeria, Oman, Arabia Saudí, Singapur, Sudan, etc.
29 Ver https://twitter.com/iblametom/status/618133002598674432
30 “Hacking Team Tried To Break Tor Anonymity Network; Spy Company Joins Tor’s Long List Of Enemies” July 13 2015 Ver http://www.ibtimes.com/hacking-team-tried-break-toranonymity- network-spy-company-joins-tors-long-list-2006135

 

 

Documento en PDF

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies