Lynis es una herramienta de software libre con la que podrás auditar la seguridad de tu sistema GNU/Linux y otras derivadas de Unix como FreeBSD, Solaris o MacOS.

Hoy hechando un vistazo a mis feeds, me he encontrado con un artículo en inglés de SUSE, donde nos dan una serie de recomendaciones y guías para securizar nuestro sistema GNU/Linux.

El fortalecimiento de Linux es el proceso de reducir las vulnerabilidades, fortalecer las configuraciones y asegurarse de cumplir con los estándares de seguridad en los sistemas Linux. Con miles de organizaciones que confían en las soluciones empresariales de Linux para cargas de trabajo críticas, el uso de prácticas sólidas de fortalecimiento se ha vuelto esencial para protegerse contra las amenazas cibernéticas y mantener el cumplimiento normativo.

Está escrito por SUSE, pero se pueden extrapolar sus recomendaciones a cualquier sistema GNU/Linux:

• https://www.suse.com/c/linux-hardeningthe-complete-guide-to-securing-your-systems/

En dicho artículo además del conjunto de recomendaciones para fortalecer nuestro sistema GNU/Linux hablan sobre una herramienta que me ha llamado la atención llamada Lynis: Lynis – Herramienta de auditoría y endurecimiento de seguridad, para sistemas basados en UNIX.

Lynis es una herramienta publicada bajo licencia GPL v3.0, por lo que es software libre y además gratuito, ya que puedes descargarla y utilizarla. Primero veamos cómo se definen en su repositorio de GitHub:

Lynis es una herramienta de auditoría de seguridad para sistemas basados en UNIX como Linux, macOS, BSD y otros. Realiza un análisis de seguridad en profundidad y se ejecuta en el propio sistema. El objetivo principal es probar las defensas de seguridad y proporcionar consejos para un mayor fortalecimiento del sistema. También buscará información general del sistema, paquetes de software vulnerables y posibles problemas de configuración.

Lynis fue utilizado comúnmente por administradores de sistemas y auditores para evaluar las defensas de seguridad de sus sistemas. Además del «equipo azul», hoy en día los probadores de penetración también tienen a Lynis en su caja de herramientas.

La herramienta está orientada a personal técnico como: Administradores de sistemas, Auditores Oficiales de seguridad, Probadores de penetración de sistemas, Profesionales de la seguridad, etc.

Digamos que es una herramienta profesional pero que podemos utilizarla en nuestro sistema GNU/Linux como guía, pero teniendo en cuenta que hay que tener conocimientos profundos del sistema y valorar si realmente nuestro sistema GNU/Linux merece llevar a cabo las sugerencias en cuanto a seguridad que nos ofrece la herramienta Lynis.

En GNU/Linux somos de naturaleza curiosa y nos gusta ver cosas nuevas, así que «¿¿a quien no le va a gustar ejecutar esta herramienta de seguridad???» (punto para ti si reconoces el vídeo parafraseado).

En mi caso la quise probar pero sin instalar nada. Lynis está en los repositorios de openSUSE y de muchas otras distribuciones, así que desde tu gestor de software favorito la puedes buscar e instalar.

En mi caso, como era algo meramente informativo y puntual no quise instalarlo, así que me descargué el archivo comprimido y después lo descomprimí. A día de hoy la versión actual es 3.6.1:

wget https://cisofy.com/files/lynis-3.1.6.tar.gz     
tar -zxvf lynis-3.1.6.tar.gz

Nos descomprime todo en un archivo lynis, entramos en él y ejecutamos la auditoría que queramos.

En mi caso quería algo rápido para ver qué aspecto tiene la herramienta y qué resultados me ofrecía. Así que ejecuté un:

 sudo ./lynis audit system --quick 

Después de introducir la contraseña y de aceptar con ENTER la advertencia que nos hace la herramiente Lynis, comienza el escaneado rápido de nuestro sistema GNU/Linux. Y en él nos va mostrando diferentes mensajes.

Aquí es donde digo que hay que tener un conocimiento profundo del sistema. Nos saldrán varias advertencias, lo que nos puede llevar a tratar de corregirlas sin saber cómo y podremos romper el sistema si actuamos a lo loco.

Más adelante, la propia herramienta Lynis nos ofrece una serie de sugerencias para aumentar la seguridad de distintas partes del sistema. Aquí dejo a tu consideración si realmente merece la pena llevar a cabo las recomendaciones.

También al final del escaneo realizado nos mostrará un par de rutas donde guarda los registros o logs obtenidos, para una revisión más detallada o para enviarlo a un profesional, etc…

Lynis puede ser una buena herramienta si estás estudiando sobre estos temas o si ya trabajas con temas relacionados con la administración se sistemas o seguridad y quieres repasar si tus sistemas tienen puntos débiles que haya que solucionar o mejorar.

Tiene muy buena documentación y al ser software libre, tiene disponibles complementos que pueden expandir sus posibilidades. ¿Te animas a probarlo?

Enlaces de interés

• https://www.suse.com/c/linux-hardeningthe-complete-guide-to-securing-your-systems/
• https://cisofy.com/
• https://cisofy.com/documentation/lynis/get-started/
• https://github.com/CISOfy/Lynis

Digital Defenders Partnership acompañará a cuatro organizaciones a lo largo de 2025. ¡Postúlate! Hay tiempo hasta el 14 de febrero.

Postulaciones cerradas por el año 2025.

Si la organización a la que perteneces está interesada en fortalecer o desarrollar prácticas en seguridad digital, física o psicosocial, esta es su oportunidad. Durante el mes de febrero DDP seleccionará a 4 organizaciones de América Latina y el Caribe para ser parte de la cohorte 2025 del Programa de Acompañamiento para la Protección Digital. Más información en https://digitaldefenders.org.

¿Quiénes pueden postular?

La convocatoria está dirigida a organizaciones, colectivas o redes de América Latina y el Caribe que:

• ponen información disponible al público (periodistas, comunicadorxs, comunicadorxs comunitarios, etc.).
• pertenecen o trabajan con comunidades afrodescendientes.
• pertenecen o trabajan con comunidades con discapacidad.
• trabajan por el medio ambiente o con personas defensoras del territorio.
• defienden los derechos de las mujeres o activistas feministas.
• pertenecen o trabajan con pueblos originarios.
• pertenecen o trabajan con activistas LGTBIQA+.

Criterios para postular

• Ser parte de los grupos prioritarios.
• Contar con el respaldo de su dirección para la implementación del acompañamiento.
• Contar con dos personas con tiempo liberado para desempeñarse como puntos focales y dar seguimiento a las actividades que se realizarán durante el acompañamiento.
• Contar con la posibilidad de dedicar tiempo y espacio a las actividades que se realizarán en el marco del acompañamiento (aproximadamente 4 horas semanales sincrónicas y 4 horas asincrónicas).
• Estar en riesgo (mediano o alto) de que sus vulnerabilidades físicas o digitales sean explotadas debido a su trabajo de defensa de los derechos humanos.
• Haber sufrido u observado incidentes de seguridad relevantes en los últimos 12 meses, los cuales no apliquen para una subvención de emergencia
• Ser una organización, colectiva o red de confianza, es decir que su trabajo cuenta con el aval de sus pares.
• Haber tenido en cuenta las necesidades particulares de las personas con respecto al género, la orientación sexual, la capacidad, el idioma, etc., en el diseño de la presente propuesta.
• Haber previsto los posibles riesgos o contratiempos asociados al proyecto y haber evaluado que dichos riesgos son aceptables.

Proceso de postulación

Sólo se tendrán en cuenta las solicitudes presentadas a través del formulario de postulación. Si tienes dudas respecto a tu postulación, ponte en contacto con DDP a través del correo electrónico lac@digitaldefenders.org.

El cifrado es una pieza fundamental del software que usamos a diario,  nos proporciona seguridad en las aplicaciones y nos facilita la privacidad en nuestras comunicaciones en nuestro día a día. Las páginas webs que visitamos a diario usan canales HTTPS, que se generan con archivos que usan cadenas de cifrado de clave publicas llamadas certificados. Las aplicaciones usan algoritmos de cifrado, para proteger las credenciales, y establecer canales seguros de transferencia de la información.

Entender como funciona, aunque sea básicamente los mecanismos de cifrados de nuestras comunicaciones y aplicaciones, se hace cada vez más necesario en el mundo digital en el que vivimos.

En elbinario hemos hablado muchas veces sobre el cifrado y mecanismos de cifrados, esta serie de artículos pretende seguir por ese camino, pero esta vez intentando ser más didáctico, explicando varios ejemplos de cifrado comunes de una forma sencilla y sus ejemplos de código, tanto para cifrar/descifrar como parar intentar romperlos.

Para empezar vamos a utilizar el cifrado Caesar un cifrado de desplazamiento muy simple que se dice que usaba Julio Cesar para enviar señales a tus tropas.

Para cifrar el mensaje el cifrado Caesar usa un método de desplazamiento, imaginar que tenemos la siguiente tabla, en la cual tenemos en la carpeta de arriba un índice numérico del 1-25  abajo representamos en cada índice una letra del Alfabeto, empezando por el número 0.

Hemos comentado que Caesar es un cifrado de desplazamiento, porque para cifrar tenemos que desplazarnos de un índice a otro de la tabla, pero para ello necesitamos un valor numérico que nos indique el número de casillas que nos tenemos que desplazar a ese valor lo llamaremos clave. Si por ejemplo queremos cifrar la letra H usando la clave 5, nos desplazaremos desde la posición 7(H) hasta la posición 12(M) , por lo que podemos decir que la letra M cifra a la H.

Ahora imagina que tenemos la frase HOLA ELBINARIO y la clave 13(la clave puede ser cualquier número entre el 1 y el 25), usando el método que hemos aprendido, lo primero que haremos será buscar la primera letra de nuestra frase en la tabla, por ejemplo la letra H que corresponde en la columna 7 y le aplicamos la clave, por lo tanto, buscamos la letra correspondiente a la columna (7+13) que es la U.

Ahora continuamos con la siguiente letra que sería la O, buscamos en nuestra columna y aplicamos la fórmula(posición de columna+clave) y nos da el número 28, ¿pero como vamos a cifrar esto si nuestro array solo tiene hasta el número 25? Pues con un truco matemático que consiste en restar la posición que tenemos al array máximo, por lo tanto, restamos (27-25) =2  buscamos la letra en la posición 2 (ojo es un array no es la columna 2 es la posición 2 ) por lo tanto, la letra que  cifra la O es la  B, asi continuamos hasta obtener nuestro texto cifrado que sera UbYÑRYOVÑeVb , como podemos ver aunque el cifrado Caesar sea un cifrado antiguo y totalmente inseguro no parece fácil a priori descifrar el texto sin la clave(ya veremos más adelante que hay maneras).

Ahora que sabemos como cifrar a mano un texto simple con Caesar vamos a escribir un programa muy simple en python para hacerlo, aquí está el código completo que iremos desgranando más abajo.

mensaje="HOLA ELBINARIO"
llave=13
SIMBOLOS='ABCDEFGHIJKLMÑOPQRSTUVWXYZabcdefghijklmnñopqrstuvwxyz'
traducion=''
for simbolo in mensaje:
     if simbolo in SIMBOLOS:
         simboloindex=SIMBOLOS.find(simbolo)
         indextranslado=simboloindex+llave
         if indextranslado >=len(SIMBOLOS):
            indextranslado=indextranslado-len(SIMBOLOS)
         elif indextranslado < 0:
            indextranslado=indextranslado + len(SIMBOLOS)
         traducion=traducion + SIMBOLOS[indextranslado] 
print(traducion)

La salida del programa nos devolverá lo siguiente:

/bin/python3 /home/anubys/test.py
anubys@debian2:~$ /bin/python3 /home/anubys/test.py
UbYÑRYOVÑeVb

Que es exactamente lo que habíamos hecho de forma manual con nuestra tabla, vamos a desgranar paso por paso lo que hacemos en el programa

• Creamos varias variables donde almacenamos, el texto que vamos a cifrar, los símbolos que vamos a usar, la longitud de la clave que vamos a utilizar y una variable vacía que usaremos para la salida traducida
• Creamos un bucle for donde vamos buscando cada símbolo de nuestro mensaje indicando su posición.

anubys@debian2:~$ /bin/python3 /home/anubys/test.py
H
O
L
A
E
L
B
I
A
R
I
O
anubys@debian2:~$ /bin/python3 /home/anubys/test.py
7
14
11
0
4
11
1
8
0
17
8
14

• Añadimos el valor de la llave para sumarlo a la posición inicial de cada símbolo y aplicamos los if para comprobar que la longitud del mensaje no supera a la longitud de los símbolos y vamos conformando nuestro mensaje cifrado con cada posición nueva.

anubys@debian2:~$ /bin/python3 /home/anubys/test.py
20
U
27
Ub
24
UbY
13
UbYÑ
17
UbYÑR
24
UbYÑRY
14
UbYÑRYO
21
UbYÑRYOV
13
UbYÑRYOVÑ
30
UbYÑRYOVÑe
21
UbYÑRYOVÑeV
27
UbYÑRYOVÑeVb

Como veis es muy sencillo cifrar texto con unas pocas líneas en python, para el siguiente artículo nos veremos si ¿es posible  descifrar un mensaje cifrado con este método sin conocer la clave?

Happy Cracking :)

Después del artículo de nuestro compañero bar foo sobre Invizible Pro me quedé con la sensación de que aunque hemos hablado mucho de i2p y tor en este blog, no hemos hablado mucho sobre como usarlos en dispositivos móviles de forma sencilla, así que aprovechando lo oportuno del artículo de bar foor por lo que vamos a ello, empezando por I2P.

• Al abrir la aplicación se nos muestra un menú lateral izquierdo donde podemos acceder a las opciones y una pantalla principal dividida en pestañas, donde podremos ver el log de nuestras conexiones DNS con DNSCrypt, Tor,I2p. También tenemos un chekbox donde indicamos que servicios queremos arrancar, como este artículo trata sobre i2p solo voy a arrancar DNSCRYPT y I2P

• Una vez arrancados los servicios, si queremos por ejemplo navegar por sites i2p, no tenemos que hacer nada más que abrir nuestro navegador favorito y teclear la dirección del sitio, por ejemplo tracker2.postman.i2p, ya que la aplicación nos monta un proxy y un modo vpn para navegar por i2p de forma transversal.

• Los sitios i2p, igual que en tor cambian constantemente y es muy posible que el sitio que busquéis ya no está disponible, existe un buscador en la clearnet llamado https://i2pengine.com que puede mostrar sitios nuevos, también hay una página dentro de la red i2p identyguy.i2p que muestra una lista de sitios y la última vez que estos estuvieron disponibles que es muy útil.

• Con i2p no solo podemos establecer conexiones a sitios web también podemos hacer uso de túneles para tunelar nuestras conexiones por esa red por ejemplo en IRC, para ello tenemos que acudir a la sección de edición de túneles del menú avanzado de la izquierda.

• Allí pulsamos sobre la opción «Modificar al archivo de tunnels.conf»
• La aplicación por defecto nos muestra varios túneles ya configurados, solo tenemos que activar las opciones quitando el # delante de la configuración, por ejemplo nuestra configuración para conectar al IRC de irc.ilita.i2p sería la que remarco en rojo(los otros parámetros de los demás túneles no lo toquéis, solo quitar los # de la configuración que señalo)

• Cuando editéis el túnel os dirá si queréis guardarlo darle que sí (no os preocupes si la liais hay forma de volver a la conf de fabrica)
• Una vez tengamos nuestro tunnel IRC levantado tan solo tenemos que acudir a un cliente IRC y configurarlo de la siguiente forma

• Los parámetros importantes son que el host debe ser 127.0.0.1(loopback) y el puerto el que especificamos en el túnel.

• Nuestra conexión se establecerá

Existen muchos túneles para establecer conexiones en i2p como (http,smtp,pop3,udp,sock,i2cp), podéis encontrar más información en https://i2pd.readthedocs.io/en/latest/user-guide/tunnels/

La red i2p igual que la red tor es todo un mundo de servicios, estos artículos solo quiere dar unas pequeñas pinceladas sobre como usarlas de forma funcional sin entrar en muchos tecnicismos.

Happy Hacking ;)

Conversations, es un magnífico cliente de mensajería instantánea por xmpp, yo diría que a día de hoy se ha convertido en uno de los mejores y más completos clientes a la hora de usar mensajería bajo el protocolo XMPP.

El cliente soporta mensajes cifrados vía  OTR y mensajes, archivos  end-to-end con  OMEMO, por lo que podemos estar  bien seguros con ellos, pero sí queremos añadir una capa extra de anonimato para que no se puede trazar el origen de nuestras conexiones, nos permite usar la red tor con orbot.

De orbot ya hemos hablado por aquí en alguna ocasión para tratar de evitar los bloqueos a los nodos públicos de tor desde nuestro teléfono con bridges, pero me ha sorprendido la sencilla integración con conversations.

La página oficial de orbot del proyecto tor nos lleva a descargar orbot desde play store,  are you serius?,en fin o no hemos aprendido nada de la historia de Silkroad y «Dread Pirate Roberts, o alguien tiene que pagar las facturas, evidentemente no es la opción que recomendamos aquí, por lo que vamos a instalar orbot mediante la aplicación fdroid

• Una vez instalado Fdroid, abrimos la aplicación y buscamos orbot, Si nuestro teléfono tiene android 4.x o superior, descargamos la versión del pantallazo 16.6.4-RC, que podremos seleccionar desde el menú versiones(si descargáis la versión sugerida por fdroid no funciona o por lo menos en mi teléfono)

• Iniciamos orbot , le decimos que no queremos usar el modo vpn y comprobamos que nos conecta correctamente la red

• Abrimos conversations y vamos a la sección opciones para expertos

• Marcamos la opción conectar vía tor y volvemos a la pantalla principal.

Ya esta así de sencillo es conversar de forma segura y privada con herramientas y software libre, incluso aunque el sistema operativo de nuestro teléfono sea de la Dont Be Evil Corp ;)

Después del artículo de nuestro compañero bar foo sobre Invizible Pro me quedé con la sensación de que aunque hemos hablado mucho de i2p y tor en este blog, no hemos hablado mucho sobre como usarlos en dispositivos móviles de forma sencilla, así que aprovechando lo oportuno del artículo de bar foor por lo que vamos a ello, empezando por I2P.

• Al abrir la aplicación se nos muestra un menú lateral izquierdo donde podemos acceder a las opciones y una pantalla principal dividida en pestañas, donde podremos ver el log de nuestras conexiones DNS con DNSCrypt, Tor,I2p. También tenemos un chekbox donde indicamos que servicios queremos arrancar, como este artículo trata sobre i2p solo voy a arrancar DNSCRYPT y I2P

• Una vez arrancados los servicios, si queremos por ejemplo navegar por sites i2p, no tenemos que hacer nada más que abrir nuestro navegador favorito y teclear la dirección del sitio, por ejemplo tracker2.postman.i2p, ya que la aplicación nos monta un proxy y un modo vpn para navegar por i2p de forma transversal.

• Los sitios i2p, igual que en tor cambian constantemente y es muy posible que el sitio que busquéis ya no está disponible, existe un buscador en la clearnet llamado https://i2pengine.com que puede mostrar sitios nuevos, también hay una página dentro de la red i2p identyguy.i2p que muestra una lista de sitios y la última vez que estos estuvieron disponibles que es muy útil.

• Con i2p no solo podemos establecer conexiones a sitios web también podemos hacer uso de túneles para tunelar nuestras conexiones por esa red por ejemplo en IRC, para ello tenemos que acudir a la sección de edición de túneles del menú avanzado de la izquierda.

• Allí pulsamos sobre la opción «Modificar al archivo de tunnels.conf»
• La aplicación por defecto nos muestra varios túneles ya configurados, solo tenemos que activar las opciones quitando el # delante de la configuración, por ejemplo nuestra configuración para conectar al IRC de irc.ilita.i2p sería la que remarco en rojo(los otros parámetros de los demás túneles no lo toquéis, solo quitar los # de la configuración que señalo)

• Cuando editéis el túnel os dirá si queréis guardarlo darle que sí (no os preocupes si la liais hay forma de volver a la conf de fabrica)
• Una vez tengamos nuestro tunnel IRC levantado tan solo tenemos que acudir a un cliente IRC y configurarlo de la siguiente forma

• Los parámetros importantes son que el host debe ser 127.0.0.1(loopback) y el puerto el que especificamos en el túnel.

• Nuestra conexión se establecerá

Existen muchos túneles para establecer conexiones en i2p como (http,smtp,pop3,udp,sock,i2cp), podéis encontrar más información en https://i2pd.readthedocs.io/en/latest/user-guide/tunnels/

La red i2p igual que la red tor es todo un mundo de servicios, estos artículos solo quiere dar unas pequeñas pinceladas sobre como usarlas de forma funcional sin entrar en muchos tecnicismos.

Happy Hacking ;)

Conversations, es un magnífico cliente de mensajería instantánea por xmpp, yo diría que a día de hoy se ha convertido en uno de los mejores y más completos clientes a la hora de usar mensajería bajo el protocolo XMPP.

El cliente soporta mensajes cifrados vía  OTR y mensajes, archivos  end-to-end con  OMEMO, por lo que podemos estar  bien seguros con ellos, pero sí queremos añadir una capa extra de anonimato para que no se puede trazar el origen de nuestras conexiones, nos permite usar la red tor con orbot.

De orbot ya hemos hablado por aquí en alguna ocasión para tratar de evitar los bloqueos a los nodos públicos de tor desde nuestro teléfono con bridges, pero me ha sorprendido la sencilla integración con conversations.

La página oficial de orbot del proyecto tor nos lleva a descargar orbot desde play store,  are you serius?,en fin o no hemos aprendido nada de la historia de Silkroad y «Dread Pirate Roberts, o alguien tiene que pagar las facturas, evidentemente no es la opción que recomendamos aquí, por lo que vamos a instalar orbot mediante la aplicación fdroid

• Una vez instalado Fdroid, abrimos la aplicación y buscamos orbot, Si nuestro teléfono tiene android 4.x o superior, descargamos la versión del pantallazo 16.6.4-RC, que podremos seleccionar desde el menú versiones(si descargáis la versión sugerida por fdroid no funciona o por lo menos en mi teléfono)

• Iniciamos orbot , le decimos que no queremos usar el modo vpn y comprobamos que nos conecta correctamente la red

• Abrimos conversations y vamos a la sección opciones para expertos

• Marcamos la opción conectar vía tor y volvemos a la pantalla principal.

Ya esta así de sencillo es conversar de forma segura y privada con herramientas y software libre, incluso aunque el sistema operativo de nuestro teléfono sea de la Dont Be Evil Corp ;)

Hace un tiempo cree una honeypot para imitar un dispositivo de IoT con un OS de GNU Linux. La idea era investigar por mi cuenta y por diversión los ataques dirigidos a Linux, puesto que tiene tangencialmente que ver con mi trabajo pero quería hacerlo a mi manera. Los detalles técnicos de cómo la he montado están en este repositorio, pero el resumen es que he copiado el filesystem de OpenWRT con docker, lo he integrado en mi honeypot y he añadido detalles que sabía que solían formar parte del interés de un atacante en estos casos (documentos de configuración, claves SSH, librerias concretas, etc). Pero esta entrada no va de eso, va de una de las campañas que he investigado.

Cuando tienes una de estas honeypot, es posible que recibas muchos ataques, desde diferentes sitios, la mayoría automáticos. En mi caso me dedique a revisar tranquilamente los logs de la honeypot para ver qué había sucedido, por lo general hay algunos detalels que suelen llamar mi atención, para empezar las lineas de comando. La honeypot guarda cualquier comando que se haya intentado ejecutar, de modo que se puede comprobar con un simple grep CMD a través de los logs qué días se han detectado comandos y por parte de qué sesión, cuándo y desde qué dirección IP. Las direcciones IP por si solas dicen más bien poco y no son fiables a largo tiempo como método de detección, pero pueden ayudar a identificar un mismo ataque en un periodo corto de tiempo en una misma máquina. En mi caso cuando estuve revisando líneas de comando descubrí un comando que formaba parte de un ataque automático que resultaba interesante. El ataque descargaba y ejecutaba en segundo plano un script de perl, que tras analizarlo es para un DdoS muy característico, porque utiliza una botnet basada en IRC. Como hay muchos palabros hasta ahora, voy a hacer un inciso para explicar conceptos, puedes saltártelo si ya los conoces:

• DDoS es literalmente “distributed denial-of-service” que es un tipo de ataque relativamente fácil d eprevenir, antiguo en términos de internet, pero que sigue existiendo. Se basa en usar tantas peticiones por unidades pequeñas de tiempo que provoque una sobrecarga de recursos de un servicio. Hemos visto ese ataque, por ejemplo, contra el salto.
• Perl es un lenguaje de programación que suele venir por defecto configurado en los sistemas basados en unix. Interpretado, dinámico y flexible, suele ser utilizado para “one liners” es decir, comandos de una sola línea que hacen cosas útiles y eficientes. Perl6 pasó a llamarse Raku y es un lenguaje diferente.
• Script es un programa pequeño normalmente con una función muy específica. En Linux es habitual usar lenguaje Perl o Bash para esto, pero también puede usarse Python y otros.
• Botnet es una colección de dispositivos normalmente secuestrados que forman parte de una red activa o dormida para realizar a taques como el de DDoS. Los atacantes lo usan mucho para esconder sus huellas.
• IRC, literalmente Internet Relay Chat es un sistema de mensajería bastante antiguo (se creó en 1988). Sin embargo se ha reutilizado para hacer un sistema que utiliza una Botnet para mandar comandos maliciosos y realizar ataques de denegación de servicio, entre otras cosas.

Pues bien, existe una de esas Botnet basada en IRC que está hecha en perl, y es característica de un grupo en particular: Outlaw. Los investigadores ponen nombres mega chulos a todos los atacantes, por algún motivo, no preguntéis. Tenía claro que lo que estaba viendo era un ataque automático de outlaw, pero no estaba segura cuántas de las cosas sospechosas de mi honeypot eran de la misma campaña. Outlaw ya atacó a diversos dispositivos de IoT y Linux hace unos años y a mediados de este año volvieron a llamar la atención, así que cuadraba que estuvieran de nuevo al ataque. Me interesaba averiguar si habían cambiado algo, si había algo nuevo.

Me llama la atención los users por defecto del script. No los pondré públicos por si son diferentes para cada grupo de víctimas, pero son bastante particulares. Si diré que la IP no está en virustotal. También os diré que el que lo ha configurado es un tío. ¿Que como lo se? No diré el nombré del canal que usan porque he visto que cada campaña cambia, pero tiene que ver con penes.

Que obsesión.

Y bueno, una confirmación de que es Outlaw, se les conoce como un grupo de habla rumana. Es más en otra versión del script que no es la que tengo dicen “La educación es como una erección, si la tienes, la ves”, en rumano. Puede ser cierto o una especie de carta para confundir, a mi me da igual, no me dedico a rastrear quiénes son en la vida real, sólo cómo hacen lo que hacen.

En el código puedo ver que utiliza recursos externos para intentar una vulnerabilidad de MD5 collision, con la intención de romper y descifrar hashes, es otra cosa que me llamó la atención. Es parte de los comandos que pueden usarse en la Botnet.

Otro de los ataques automáticos implicaba el uso de una sintaxis propia de perl. Sin embargo las IPs y los días no coincidían. Esto no quiere decir nada por si solo porque hay campañas con días de distancia entre un paso y el siguiente, además de que el uso de una Botnet complica el seguimiento por Ips. Estaba casi segura de que tenía relación pero necesitaba buscar algo más. Después de darle unas vueltas, caí en la cuenta de que los intentos de fuerza bruta contra la honeypot (había intentos de conexión con varias credenciales) parecían hechos con algún tipo de programa de shuffle con una lista de palabras. Me di cuenta de que algunas eran muy específicas, probablemente hechas con un generador automático, y no encontré esas listas en ningún lado (repositorios, pastebin, foros…) de modo que se me ocurrió que podía buscar coincidencias de credenciales especialmente particulares entre las de las sesiones que tenían que ver con el ataque sospechoso. Efectivamente, aunque las Ips variaban, las credenciales particulares se repetían (no exactamente iguales, pero si con combinaciones similares) en las sesiones del ataque sospechoso por una sintaxis de Perl.

Una vez hecha esa relación, la red del ataque era más amplia, y seguí investigando. A través de comandos usados en esas mismas sesiones o por esas mismas Ips, llegué a la conclusión de que estaban intentando explotar CVE-2017-9841, una vulnerabilidad de Linux que tuvo un impacto importante en su momento y sigue sin estar del todo parcheado en muchos contextos. Pero, si eso fuese así, para confirmarlo (siempre procuro confirmar una teoría con al menos dos pruebas) tendría que ver evidencias de que se ha intentado usar una shell en PHP, puesto que es la entrada más común de esa vulnerabilidad. Miré los detalles de red de las conexiones y vi como se intentaba hacer llamadas que implicaban shells de PHP de manual: ¡confirmado! Otro inciso técnico:

• PHP es un lenguaje de scripting especialmente pensado para uso en aplicaciones y páginas web. Personalmente lo odio con todas mis fuerzas. No sólo incita a ser desordenado (puedes añadirlo por ejemplo a cachos en cualquier html) si no que suele ser el origen de múltiples vulnerabilidades. Pero gustos colores, que dicen.
• Una shell es una terminal, desde la cual ejecutar comandos. Hay ataques (al que me refiero) que implican forzar al usuario sin saberlo a interactuar con una web para provocar las condiciones de una vulnerabilidad. Cuando se accede a una terminal, puedes intentar realizar ataques contra base de datos, servicios, etc.

Hasta aquí había conseguido: el script original del ataque, el conocimiento de que Outlaw estaba usando MAYDAY (el tipo de malware que aprovecha la vulnerabilidad mencionada, o al menos uno muy similar a ese) y más adelante un intento de sobrescribir claves ssh (¿recordáis lo que os dije de que las claves ssh tienen interés? Con frecuencia es para intentar extender el ataque a las claves ssh conocidas por la máquina afectada, pero en general dan credibilidad a un sistema de mentirijilla). Al investigar los ataques, también utilizaban binarios maliciosos, que se han guardado en mis logs, y he podido comprobar que coinciden con XMRig, usado como criptominero (y el objetivo de mi búsqueda, el por qué del filesystem que elegí para la honeypot). XMRig en si es un minero legítimo, pero se usa forzadamente en máquinas, en forma de malware, para aprovechar recursos para minar crypto (este es, con diferencia, el ataque más visto en Linux). Así que en conclusión en esta campaña:

• He visto que siguen usando el Botnet IRC de Perl
• He visto que usan XMRig (algo que ya usaban)
• Aprovechan CVE-2017-9841, en forma del malware MAYDAY
• Utilizan algún sistema para fuerza bruta con una lista personalizada, probablemente generada automáticamente con patrones que mezclen listas de contraseñas por defecto en sistemas y apps y contraseñas posibles.
• En una versión más avanzada, procuran sobrescribir ssh, esta parte tiene relación con XMRig.

En realidad todo está basado en análisis de los logs durante un par de meses, quizás el tiempo permita ver más detalles, o quizás la campaña acabará antes de eso. El mundo de cyber es un poco como el de la moda textil, a veces vuelven cosas que se creían pasadas ya a la historia. Gracias a este pequeño proyecto, poco a poco, tengo algunos hashes, un script, comandos y TTPs, y espero poder hablar en más detalle (cómo mirar y parsear rápidamente estos logs, qué añadir a las honeypot para tunearlas, etc) de esto y otros que he visto si se me da la oportunidad en alguna charlilla el año que viene.

La organización Human Rights Watch publicó una investigación que revela hasta dónde las plataformas educativas online adoptadas por más de 49 países recolectaron información de las y los menores de edad.

La pandemia  de la Covid-19 aceleró procesos de digitalización en muchos ámbitos: el laboral, el sanitario, el comercial y, también, el de la educación. La urgencia de contar con estrategias que permitieran mantener las clases en situación de aislamiento empujó a las instituciones educativas a adoptar rápidamente plataformas educativas de todo tipo sin demasiada reflexión. Las exigencias de un contexto desconocido, la ausencia de recursos financieros, la noción extendida de neutralidad de la tecnología y las condiciones de conectividad fueron algunas de las variables que explicaron la adopción apresurada de plataformas educativas (EdTech).

La investigación de Human Rights Watch revela que el 89% de las 164 aplicaciones educativas analizadas rastrearon las actividades de las y los niños fuera de sus aulas virtuales sin su consentimiento ni el de sus padres y enviaron esos datos a terceros, principalmente empresas de publicidad. Es decir, las plataformas educativas “realizaban prácticas de datos que ponían en peligro los derechos de los niños, contribuían a socavarlos o infringían activamente estos derechos” [1].

Con estos datos, las empresas de publicidad dirigieron publicidad conductual a las niñas y niños. “Al utilizar los datos de los niños -extraídos de entornos educativos- para dirigirles contenidos y anuncios personalizados que les siguen por Internet, estas empresas no sólo distorsionaron sus experiencias en línea, sino que también se arriesgaron a influir en sus opiniones y creencias en un momento de sus vidas en el que se encuentran en alto riesgo de interferencia manipuladora”, explica el informe [2].

“Las niñas y niños no deberían verse obligados a renunciar a su intimidad y a otros derechos para poder aprender” Hye Jung Han, HRW.

Human Rights Watch incluyó en su informe una serie de recomendaciones dirigidas a gobiernos y ministerios de educación, docentes, empresas tecnológicas y de publicidad que exigen el respeto de los derechos de las niñas y los niños. Lo que estas recomendaciones no contemplan es la crítica al modelo de desarrollo tecnológico neoliberal. Sólo con la adopción masiva de software libre y distribuido podemos garantizar auditorías transparentes del código que expongan este tipo de prácticas ilegales.

La investigación de Human Rights Watch demuestra que la decisión de autorizar el uso de software educativo privativo con menores de edad no debió tomarse a la ligera. Como vienen denunciando organizaciones de derechos digitales, desde hace más de una década, los derechos fundamentales de las niñas y niños -entre los que se encuentra la privacidad- está en juego.