Agosto 2019 Ago 2020 v2.pdf
Agosto 2019 - Agosto 2020 2 Contents 1 2019 1.1 August . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Views 64 Downloads 4 File size 7MB
Recommend stories
- Author / Uploaded
- Blas
Citation preview
Agosto 2019 - Agosto 2020
2
Contents 1 2019 1.1 August . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Democracia hackeada. Voto electrónico, Big Data y Fake news 3 (2019-08-13 21:23) . . . . . . . . . 1.2 September . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Democracia hackeada. Voto electrónico, Big Data y Fake news 4 (2019-09-04 19:18) . . . . . . . . . Democracia hackeada. Voto electrónico, Big Data y Fake news 5. (2019-09-12 15:49) . . . . . . . . Inyección SQL: El riesgo más crítico en Aplicaciones Web. (2019-09-14 18:21) . . . . . . . . . . . . Termux 1. Toda la potencia de Linux en tu móvil (2019-09-15 12:14) . . . . . . . . . . . . . . . . . Termux 2. Comandos básicos. (2019-09-16 21:58) . . . . . . . . . . . . . . . . . . . . . . . . . . . Termux 3. Entrando en equipos remotos. (2019-09-16 22:27) . . . . . . . . . . . . . . . . . . . . . Termux 4. Retrohacking con telnet. (2019-09-17 12:20) . . . . . . . . . . . . . . . . . . . . . . . . Termux 5. Profundizando en Telehack. (2019-09-17 12:53) . . . . . . . . . . . . . . . . . . . . . . 1.3 October . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Searching. Del control parental al estatal 1 (2019-10-01 16:36) . . . . . . . . . . . . . . . . . . . . Searching. Del control parental al estatal 2 (2019-10-04 10:17) . . . . . . . . . . . . . . . . . . . . Searching. Del control parental al estatal 3 (2019-10-18 16:52) . . . . . . . . . . . . . . . . . . . . Searching. Del control parental al estatal 4 (2019-10-23 16:59) . . . . . . . . . . . . . . . . . . . . 1.4 November . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Westworld existe 1. (2019-11-03 21:20) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Westworld existe 2. (2019-11-17 11:45) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5 December . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Westworld existe 3. (2019-12-08 14:23) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Caminos aleatorios en números irracionales (2019-12-11 19:13) . . . . . . . . . . . . . . . . . . . Mártires. Hacking de bases de datos científicos 1. (2019-12-23 11:51) . . . . . . . . . . . . . . . . Mártires. Hacking de bases de datos científicos 2. (2019-12-30 08:31) . . . . . . . . . . . . . . . . 2 2020 2.1 January . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mártires. Hacking de bases de datos científicos 3. (2020-01-05 11:25) . . . . . . . . . . . . . . . . Entrevista a Lórien Doménech Ruiz. (2020-01-07 17:48) . . . . . . . . . . . . . . . . . . . . . . . . Mártires. Hacking de bases de datos científicos 4. (2020-01-11 09:29) . . . . . . . . . . . . . . . . Luces y sombras del Big Data (2020-01-26 22:13) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 February . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos de Internet. FTP (2020-02-03 20:27) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exposición Game On (2020-02-29 00:53) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 April . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ciberseguridad en tiempos de pandemia. (2020-04-04 11:43) . . . . . . . . . . . . . . . . . . . . 2.4 May . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Westworld existe. La IA en tiempos de pandemia. (2020-05-02 12:27) . . . . . . . . . . . . . . . .
5 5 5 8 8 11 15 16 19 21 25 38 72 72 74 77 79 82 82 84 87 87 90 95 98 103 103 103 108 112 115 121 121 125 130 130 131 131 3
Menores en la red (2020-05-12 15:08) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Menores en la red 2. Ciberseguridad y tele docencia. (2020-05-23 22:53) . . . . . . . . . . . . . . 2.5 June . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Epidemiología. Estadística. Encriptación. (2020-06-14 15:28) . . . . . . . . . . . . . . . . . . . . . C1b3rWall Academy 2020 - OSINT (2020-06-22 22:23) . . . . . . . . . . . . . . . . . . . . . . . . C1b3rWall Academy 2020 - Aprendiendo Hacking con CTF (2020-06-24 18:05) . . . . . . . . . . . . C1b3rWall 2020 - Apuntes: Ataques Ddos - Metaesploit - Rastreo phisher. (2020-06-28 11:50) . . . 2.6 July . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C1b3rWall 2020 - Mis problemas con la diosa (Kali) 1 (2020-07-09 12:24) . . . . . . . . . . . . . . C1b3rWall 2020 - Mis problemas con la diosa (Kali) y 2 (2020-07-19 19:42) . . . . . . . . . . . . . . Imperios digitalizados. Big data para la Máquina del Tiempo. (2020-07-21 23:28) . . . . . . . . . . Imperios digitalizados 2. Big Data para la Máquina del Tiempo. (2020-07-25 12:49) . . . . . . . . . C1b3rWall 2020 - Telecomunicaciones. Del IoT al Internet of the Animals. (2020-07-27 15:41) . . . Imperios digitalizados 3. Big Data para la Máquina del Tiempo. (2020-07-28 16:30) . . . . . . . . . 2.7 August . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C1b3rWall 2020. Telecomunicaciones. Del IoT al IoA 2 (2020-08-01 11:54) . . . . . . . . . . . . . . Imperios digitalizados 4. Cuando la digitalización no es el problema. (2020-08-09 09:34) . . . . . .
4
134 141 149 149 154 165 168 171 171 176 181 185 192 200 206 206 213
1. 1.1
2019 August
Democracia hackeada. Voto electrónico, Big Data y Fake news 3 (2019-08-13 21:23) Cómo hackear elecciones para dummies.
-Si se cuenta con un potente ejército de botnets y botmasters motivados y "patriotas", nada mejor que una buena denegación de servicio que tumbe los servidores electorales. Resultado: Colas interminables de votantes que no pueden ejercer su derecho o imposibilidad de realizar el recuento. Ejemplo: Ucrania 2014. -Si lo que nos sobran son piratas bien organizados o, a ser posible, un buen grupo APT, el mejor camino consiste en la alteración de resultados electorales. Resultado: Posible victoria del candidato que nos interesa. Ejemplo: Ataque a los sistemas electrónicos de registro de voto en Arizona e Illinois en 2016. [1]
5
-Si disponemos de buenos phishers y desarrolladores de malware, nada mejor que una intervención política. Resultado: Robo de correos electrónicos, bases de datos de donantes a la campaña, posibles indicios de corrupción... Todo aquello que luego se pueda utilizar mediante una buena campaña de Fake News; a ser posible en redes sociales. Ejemplo: Mensajes "cocinados" en granjas de Fake News del tipo: “El candidato X es Satán, y sus crímenes y mentiras muestran su maldad”. [2]
Cómo construir tu propio sistema de FN: A partir de 2 millones de dólares al mes, se puede poner en marcha una flamante granja, con unos cuantos voluntarios reales despistados y miles de identidades falsas en redes sociales; trabajando 24 horas al día. Resultado: Incitación al miedo, al odio, demonización de un candidato o sembrar dudas sobre la democracia y el sistema político en millones de votantes; todo queda al alcance de un granjero Fake News. Técnicamente el proceso es similar a las granjas de clics, que hacen aumentar la reputación de una app o añaden miles de seguidores falsos a un perfil de red social o... [3] 6
Granja de clics
Prueba de concepto: Cómo hackear las elecciones presidenciales norteamericanas.
Problema: 200 millones de votantes, casi 200000 colegios electorales, cerca de diez sistemas distintos de recogida y recuento de voto. Muchos de papel y urna a la europea, otros con diversas máquinas de voto y tecnologías dispares.
Solución: Supongamos que nuestro candidato va palmando por unos pocos millones de votos. Aún puede ganar si consigue el Colegio Electoral; porque en EE.UU el presidente no es elegido directamente por el voto de los americanos.
En el Colegio Electoral los estados de California, Florida, Texas y Nueva York pesan mucho más que otros.
7
Si conseguimos cambiar solo el 1 % de los votos en dos estados claves, ¡Bingo! Nuestro candidato será presidente y seguro que nos recordará en el reparto de cargos.
[3] 8
1. https://upload.wikimedia.org/wikipedia/commons/2/22/Desi_accuvote-tsx_vvpat.jpg 2. https://upload.wikimedia.org/wikipedia/commons/thumb/2/2a/Urna_eletr C3 B4nica.jpeg/1024px-Urna_eletr C3 B 4nica.jpeg 3. https://cdn.computerhoy.com/sites/navi.axelspringer.es/public/styles/855/public/media/image/2018/02/285793 -dentro-click-farm-asi-manipulan-puntuaciones-apps.jpg
1.2
September
Democracia hackeada. Voto electrónico, Big Data y Fake news 4 (2019-09-04 19:18)
Pentesting electoral real. Washington D.C, 2010.
[1] 8
No era mi intención en los posts anteriores insinuar que las autoridades electorales democráticas puedan tener algun interés en falsear comicios gracias a la tecnología.
Varios paises europeos y unos veinte estados norteamericanos han adoptado votaciones on line. Sus ventajas son muchas, en especial en tiempo y presupuesto. No obstante, los expertos, como los que realizaron este pentest, opinan que la seguridad en este campo tardará unas décadas en estar madura. Los oficiales electorales en Washington actuaron con valentía, exponiendo el sistema a posibles ataques, una semana antes de los comicios reales. El equipo de la Universidad de Michigan, en solo 48 horas, obtuvo acceso total al servidor electoral; pudiendo alterar votaciones, romper el secreto de voto, acceder a las cámaras de seguridad, modificar el portal electoral e incluso expulsar a algunos intrusos de países sospechosos que se les habían adelantado.
9
[2] A pesar del IDS que protegía al servidor, éste se mostró ineficaz contra las conexiones Https que introdujeron el exploit de Michigan. Tras varias horas de revisar el código fuente del servidor web, escrito en Ruby, los alumnos de la Universidad detectaron el uso de dobles comillas en lugar de simples en una línea de comandos. Esto indicaba un posible ataque por inyección, previo al uso de la criptografía en el voto.
[3]Fuente
Michigan desarrollo un exploit con una shell que creaba un fichero de voto malicioso, lo enviaba al servidor y obtenía una salida. Recordemos que el IDS tenía "puntos ciegos". Con el ataque de inyección se consiguió: -Robar secretos criptográficos, como la clave pública; consiguiendo acceso a la base de datos, tras el descubrimiento de una lista de credenciales. -Cambiar los votos pasados y futuros, gracias a la clave pública robada. 10
-Romper el secreto de voto, sabiendo a qué candidato ha votado cada persona. -Descubrir un PDF de casi mil páginas con los datos reales y las credenciales para votar de gran número de usuarios. -A modo de bonus track: añadir el himno de la Universidad de Michigan a la pantalla final del portal de votación. -Limpiar las huellas de la intrusión "afeitando" los logs y borrando los archivos introducidos. 1. https://upload.wikimedia.org/wikipedia/commons/thumb/8/81/Washington_Montage_2016.png/856px-Washington_Mon tage_2016.png 2. https://imagenes.universia.net/gc/net/images/educacion/m/mi/mic/michigan-carrusel-2.png 3. https://jhalderm.com/pub/papers/ch7-evoting-attacks-2016.pdf
Democracia hackeada. Voto electrónico, Big Data y Fake news 5. (2019-09-12 15:49) [1]
11
El hackeo al Partido Demócrata. 2016. To: [email protected]; Sat, 19 Mar 2016 02:43:03 Return-Path: < [email protected] > Subject: *Alguien tiene su contraseña* To: John Podesta < [email protected] >; Content-Type: text/plain; charset="UTF-8" Hola John:
Alguien acaba de utilizar su contraseña para intentar acceder a su cuenta de Google desde Ucrania.
Google ha detenido el intento de acceso.
Debería cambiar inmediatamente su contraseña en el enlace inferior. ENLACE
John Podesta era en ese momento el jefe de la campaña electoral de Hilary Clinton. La candidata era periodicamente atacada en los medios debido a un servidor de correo privado que instaló en 2008 en su casa de Nueva York. En 2009 fue designada Secretaria de Estado y continuó utilizando dicho servidor para leer correos oficiales. El FBI puso en marcha una investigación. Las palabras Clinton y correos electrónicos constituían un peligroso arma arrojadiza contra ella. Sara Latham, la jefa de personal de Podesta, en el laberíntico organigrama electoral demócrata, fue la primera en ver el correo. Intuyó que podían encontrarse a un clic del desastre. Sara, muy preocupada, reenvió el correo al soporte técnico informático de la campaña. Nuestros lectores habituales ya sospecharán que aquello era un elaborado intento de phishing quirúrgico. Si los phishers conseguían las claves de Podesta; decenas de miles de correos con información sensible podían caer en sus manos. La campaña de Clinton podía hallarse en el filo de la navaja, en ese momento en que una pequeña acción mal sopesada puede cambiar la historia. [2] 12
To: [email protected]; Sat, 19 Mar 2016 09:29:32 Return-Path: < sara.latham.gmail.com > Subject: RE *Alguien tiene su contraseña* To: Charles Delavan < [email protected] > Content-Type: text/plain; charset="UTF-8" Hola Charles:
Solicito instrucciones respecto a cómo actuar.
Muchas gracias. To: sara.latham.gmail.com ; Sat, 19 Mar 2016 09:59:01 Return-Path: < [email protected] > Subject: RE RE *Alguien tiene su contraseña* 13
To: Sara Latham < sara.latham.gmail.com > Content-Type: text/plain; charset="UTF-8" Hola Sara:
Es correo legítimo. John tiene que cambiar inmediatamente su contraseña y asegurarse de que activa la autenticación de doble factor en su cuenta. ENLACE
Charles no revisó su correo, quería haber escrito "ilegítimo" pero las malditas prisas decantaron la situación. El equipo de Podesta pulsó sobre el enlace del correo de phishing. El 22 de julio, coincidiendo con la convención demócrata para confirmar a Clinton como candidata; Wikileaks publicó 22000 correos del Comité Nacional Demócrata (CND). [3]
La filtración sacó a la luz serias hostilidades en el seno del partido, incluidos insultos a uno de los candidatos, Bernie Sanders. El escándalo obligó a dimitir a la presidenta del CND. El resto, ya forma parte de la historia. 1. https://upload.wikimedia.org/wikipedia/commons/8/82/John_Podesta_official_WH_portrait.jpg?download 2. https://static.politico.com/dims4/default/b25e771/2147483647/resize/1160x/quality/90/?url=https 3A 2F 2Fst atic.politico.com 2Fb3 2Fb5 2Fd719f0c242c6bd3d8089742d 3. https://images.clarin.com/2016/07/22/BkNO4w3YVl_1256x620.jpg
14
Inyección SQL: El riesgo más crítico en Aplicaciones Web. (2019-09-14 18:21)
Una base de datos por dentro. MySQL Workbench
Existen muchas formas de atacar un servidor o aplicación web vulnerables. Una ocupa habitualmente la primera posición en el [1]Top Ten de OWASP. Nos referimos a la técnica de inyección; sobre todo la de código SQL. SQL significa Lenguaje estructurado de consultas. Es un estándar que se aplica a diversos motores de bases de datos relacionales. Tiene infinidad de ventajas y funcionalidades para poder trabajar con inmensas bases de datos y sacarles todo el partido, realizando consultas en que crucemos gran cantidad de información hasta llegar al dato deseado. Lo hemos visto muchas veces en películas y series policiacas y de espionaje. Aunque este aspecto está muy exagerado en cine y TV, imaginemos que en una investigación por un delito, necesitamos encontrar a un varon entre 25 y 35 años, con grupo sanguíneo A+ y que conduce un coche cuya matrícula empieza por 17 y acaba en VG. Con consultas SQL en las bases de datos adecuadas se podría llegar a una lista más o menos extensa de sospechosos. [2] ENLACE A VIDEO 15
En el video se comenta sobre el histórico ataque de Anonymous a HB Gary y se muestra el famoso servidor de entre- namiento de vulnerabilidades DVWA. Los que quieran profundizar un poco sobre esta máquina virtual de hacking pueden consultar la [3]entrada correspon- diente al Curso de Hacking Ético de la Universidad de Mondragón. La inyección SQL puede resultar tremendamente destructiva. Hemos visto en Youtube adueñarse del servidor web de una compañía aérea o asaltar la base de datos de alguna de las Fuerzas de Seguridad del Estado. El hacktivista [4]PhineasFisher realizaba en YouTube un ataque en directo con herramientas de inyección SQL (en concreto Sqlmap dentro de Kali Linux); que exponía una base de datos de los Mossos d’Escuadra, en menos de una hora. El mencionado hacktivista (singular o plural) pirateo a dos importantes empresas que vendian troyanos a gobiernos para espiar a sus ciudadanos. Sí, tambien a regímenes no democráticos que encontraron la herramienta precisa para arremeter contra la disidencia política. Bien como futuros desarrolladores e implementadores de bases de datos, bien como pentesters, la inyección SQL es una aspecto técnico fundamental a valorar. ’or ’1’=’1 1. https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf 2. https://drive.google.com/file/d/0B5-Y0-D_8ay3QWxxU2lwa3NEVms/view 3. https://hefcol.blogspot.com/2016/10/unidad-2-tarea-4-reflexiones-sobre-las.html 4. https://wp.sindominio.net/blog/hackback-conversando-con-phineas-fisher/
Termux 1. Toda la potencia de Linux en tu móvil (2019-09-15 12:14) Vivimos rodeados de dispositivos smart. Móviles, smartwarches, wearables, elementos IoT permanentemente conectados; desde cepillos de dientes a bombillas inteligentes. Las gafas de realidad aumentada y realidad virtual cada vez son más ligeras. Los proyectores de hologramas y de tecla- dos virtuales han llegado al mercado. Las máquinas reconocen perfectamente nuestra voz y nos hablan. Escenarios que parecían de ciencia ficción están a la vuelta de la esquina. En este mundo futurista, los ordenadores de sobremesa parecen reliquias prehistóricas. Es muy facil perder la per- spectiva de como era la informática e Internet hace apenas unas décadas. Y lo peor, convertirnos en meros consum- idores de productos, sin conocer lo que hay detrás. Los futuros profesionales del mundo de la informática deben conocer que la mayor parte de los servidores y equipos profesionales en producción, cuentan con un sistema operativo Linux; en general Debian. El desequilibrio entre servidores Linux y Windows en la actualidad está alrededor del 70/ 30. Por no hablar de los móviles Android, sistema operativo basado en Linux, que copan el 90 % del mercado actual. No se trata en el post de entrar en la eterna controversia entre los dos sistemas operativos más extendidos del planeta, sino en poder tener toda la potencia y posibilidades de Debian en nuestros pequeños Android; y sin necesidad de rootear. 16
Tras instalar el paquete básico en la [1]Google Play: Tecleamos: apt update Actualiza Termux apt upgrade Actualiza paquetes instalados. Vamos a practicar la instalación de paquetes con varias aplicaciones muy curiosas: apt install sl Una vez instalado le ejecutamos… sl Curioso ¿verdad? Mencionar que el texto se puede magnificar o reducir con el gesto del pellizco sobre la pantalla. Ahora una funciona matemática que nos puede simplificar muchos cálculos. factor 3003 La salida nos muestra la descomposición en factores primos del número a continuación del comando. Vamos a instalar un paquete dedicado al llamado ASCII Art: apt install figlet Ejecutamos: figlet La City Pero aún vamos a ir un paso más lejos en nuestro ASCII Art: 17
apt install toilet toilet - -metal La City O mucho más colorido toilet - -gay La City A punto de terminar nuestra práctica de descarga de paquetes: apt install cmatrix Y ejecutamos. para salir CTRL + C Para terminar con la parte de instalación de paquetes vamos a utilizar uno que nos permitirá ver las páginas web como son en realidad: apt install w3m w3m cyma.tk [2] Cómo navegar con W3M en Termux. [3] [4] [5] 1. https://play.google.com/store/apps/details?id=com.termux&hl=es_419 2. https://steemit.com/utopian-io/@rufans/how-to-browse-the-internet-from-command-line-with-termux-on-andro id 3. https://steemit.com/utopian-io/@rufans/how-to-browse-the-internet-from-command-line-with-termux-on-andro id 4. https://steemit.com/utopian-io/@rufans/how-to-browse-the-internet-from-command-line-with-termux-on-andro id 5. https://steemit.com/utopian-io/@rufans/how-to-browse-the-internet-from-command-line-with-termux-on-andro id
18
19
Termux 2. Comandos básicos. (2019-09-16 21:58)
COMANDOS LINUX/TERMUX Acciones termux - setup - storage Permitir acceso a la memoria del móvil ls Lista los directorios de la ruta actual. operador interesante - l, para visualizar los permisos. cd Cambia al interior de un directorio. Ej: cd storage 20
pwd
Nos indica la ruta
actual cd ..
Vuelve al directorio
anterior mkdir
Crea nuevo directorio. Ej mk dir
prueba touch
Crea un archivo. Ej touch prueba.txt
rm
Borra (remove) un archivo. P.ej remove
prueba.txt whoami
Nos dice nuestro nombre de
usuario cat
Muestra el contenido del archivo. P.ej cat
prueba.txt mv
Mueve un archivo a otra carpeta. Ej: mv prueba.txt storage. Storage sería la carpeda de
destino. su
Nos convierte en superusuario para obtener todos los permisos. 21
Con los comandos anteriores, aparte de trastear en nuestro propio equipo, estamos capacitados para acceder a equipos remotos. Este será el tema de nuestro próximo post, tras conseguir unas horas de rodaje con los comandos básicos; que nos permitirán también navegar en los servidores a los que nos conectemos.
Termux 3. Entrando en equipos remotos. (2019-09-16 22:27)
Entrando en equipos remotos. El protocolo FTP. 22
FTP o File Transfer Protocol, es el protocolo más utilizado en transferencia de datos pesados, aunque de forma bas- tante transparente. Por sí solo adolece de falta de seguridad, pues la transmisión es "en claro", aunque nuevas imple- mentaciones con protocolos seguros como SSH lo convierten en SFTP, Secure FTP. —Lo que yo no entiendo, profe, es ¿ por qué se utiliza tanto si es tan inseguro ? —Paula, imagínate que le dejas un periódico gratuito a un compañero, ¿No te importa que todo el mundo pueda leer los titulares de la portada? —No, porque es una información pública que esta impresa en miles de periódicos iguales. —¡Exacto! Por lo tanto el peligro no es el protocolo, en nuestro ejemplo el papel impreso. El riesgo radica en la información que transporte. ¿Te daría igual que todos lo viesen si llevase en portada una pegatina bien grande con tu nombre, dirección y teléfono? —No es lo mismo, porque eso es información personal que no debe estar a la vista de todos. —Eso sucede con protocolos no seguros como FTP o Telnet. El problema no son los archivos públicos que descargues sino el momento en que te conectes con usuario y contraseña. —Entonces supongo que existirán medidas como el HTTPS para cifrar esa información confidencial. —Claro, de ahí surgen SSL, TLS, SSH, protocolos que hacen uso de la Criptografía para proteger la información. —Lo que sigo sin comprender es cómo vamos a viajar por todo el mundo de equipo en equipo si nos van a pedir usuario y contraseña en todas partes. —Los servidores que vamos a utilizar tienen una parte pública donde se admiten invitados. —¿Pero eso es legal, o puede haber servidores FTP que no hayan desactivado esa característica por defecto ? —Muy buena pregunta, Paula. Es posible que en algunas ocasiones suceda lo que dices, pero, en ese caso, lo normal es que el servidor esté vacío y no podamos pasar de ahí. —¿Y si se pudiese pasar? —Si pudiésemos subir y ejecutar ciertos programas, se podría escanear su red y otras redes remotas desde allí. En hacking eso se llama pivotar, conseguir acceso a otros equipos que confiarán en el equipo asaltado. La IP que se registraría en los logs de los servidores escaneados sería la del FTP inicial. —En ese caso, un blackhatque controle un FTP puede escanear mi equipo, encontrar un bug y lanzarme un exploit y nunca le pillarían porque esta operando con una IP falsificada. —Sí. Y lo primero que haría sería abrir un cliente FTP que le permitiera bajar toda su artillería pesada desde el servidor FTP zombi, para dominar totalmente tu red. Pero recuerda, Paula, que en Internet todo deja huella. —¡Es alucinante! Nunca habría imaginado que existían en Internet servidores que no albergasen páginas Web. —Sí, y no solo FTP, servidores DNS de nombres de dominio, de correo, proxy, de base de datos, como SQL, cluster…¿Preparada para dar la vuelta al mundo en FTP? OPEN → Abre la transferencia. A continuación introducimos la IP o URL. También se puede escribir directamente FTP y la IP o URL. HELP → Lanza la ayuda. DIR → Lista el árbol de directorios. LS → Lista solo los nombres de directorios y archivos. CD nombre → Cambia al directorio nombre. CD .. → Vuelve al directorio anterior. Ojo, hay un espacio antes de los dos puntos. PWD → Informa del lugar en que nos encontramos. STATUS → Estado de la conexión. 23
[1]
Explicación de los códigos de atributo en la columna izquierda tras el comando DIR: Atributo Significado Archivo d Directorio x Archivo con permiso de ejecución r Archivo con permiso de lectura w Archivo con permiso de escritura 24
Despues del atributo d o - vienen tres grupos de atributos que el administrador define mediante CHMOD. En el caso de un archico de disco (Primer atributo -): rwxrwxrwx → Tanto el propietario (1º grupo rwx), como los grupos (2º rwx), como el restos de usuarios (3º rwx), pueden leer, escribir y ejecutar. Un escenario de mucho riesgo. En binario sería 111 111 111 y el CHMOD correspondiente 7 7 7 Algo más habitual y mejor securizado sería rw-r–r– → El propietario puede leer y escribir mientras que los grupos y otros usuarios solo pueden leer. En binario 110 100 100 y el correspondiente CHMOD 6 4 4. En el caso de un directorio (Primer atributo d): Por ejemplo rwxr-xr-x. 111 101 101 y el CHMOD 7 5 5. En este caso, el propietario posee control total y los grupos y otros usuarios pueden ejecutar (listar el directorio) y leer; pero no modificar ya que el permiso w está desactivado. Este escenario es el habitual en directorios que se quieran compartir con los demás usuarios. Comentar que el propietario define estas políticas de permisos desde la creación del servidor FTP, bien con software como Filezilla o desde las herramientas que nos provee el propio hosting. GET Fichero → Descarga el Fichero en nuestro equipo. Para saber dónde se descarga usar la Búsqueda de Windows o bien escribir una ruta en nuestro equipo. GET README - → Abre un fichero de texto README sin descargar. No usar con otros ficheros. BINARY → Transmisión en modo binario. Importante para archivos no textuales. El desafío. Entrar en el FTP del Instituto Astrofísico de Canarias (161.72.1.13) con Usuario anonymous y contraseña guest. Leer cuidadosamente las instrucciones de acceso. Resolver el siguiente reto : ¿Qué cuatro puntos trató Agustín Sánchez de la Vega en su seminario, respecto a la misión Huygens en Titán? 1.
http://4.bp.blogspot.com/-urxI2gvIqpo/XX_rjA7yAKI/AAAAAAAACc8/1CL76IgfQYEViEpA5jOcqM7q-wl2-pQ_wCK4BGAYYCw
/s1600/ftp 2Bhelp.jpg
25
Termux 4. Retrohacking con telnet. (2019-09-17 12:20)
Telnet (Telecomunicaciones en Red) es un protocolo de la capa de aplicación que permite acceder a otra máquina para operar de forma remota como si estuviésemos frente a ella. Data de 1969, por lo que adolece, como FTP, de una falta total de seguridad, dado que los datos, incluyendo contraseñas, se transmiten en texto plano. Actualizado con SSH gana muchos enteros. A pesar de que la visualización se produce en modo texto, representa una inestimable ayuda para administradores de redes y constituye la quintaesencia del hacking. ¿Qué persigue el hacking sino manejar un equipo como su genuino dueño? —¿Y qué interés puede tener este protocolo frente por ejemplo a HTTP? —Buena pregunta, Paula. Recuerda que HTTP nos permite conectar a un servidor web que nos ofrece una serie de contenidos por el puerto 80, pero en ningún caso podemos interactuar con el equipo. —Es decir, que si conseguimos conectar mediante Telnet vamos a poder manejar una consola o algo así. —En efecto. De hecho podemos hacer cosas imposibles de realizar con un navegador convencional: Telnetear a un servidor web y utilizar comandos HTTP. Verificar si existe una dirección determinada o incluso mandar mensajes de correo desde un servidor de correo. Conectar mediante un terminal de acceso con sistemas operativos Linux, Open VMS, Lynx…, y utilizar los comandos a que estemos autorizados. Telnetear a un router y modificar su configuración. Visitar BBS (Boletines de noticias), talkers (chats) y jugar online a diversos tipos de juegos de realidad virtual multiju- gador basados en texto. 26
Acceder a catálogos online de bibliotecas… —Si se puede interactuar remotamente con servidores que no sean web, ¿puede utilizarse por parte de blackhats? —Por supuesto. Mediante Telnet se pueden escanear puertos, suplantar identidades en redes sociales, buscar claves por defecto e incluso acceder a sistemas SCADA o servicios ocultos en la Deep Web. —Telnet nos puede dar mucho juego en el campo del retro hacking. — ¿Qué es eso? ¿Hackear equipos antiguos? —Más bien acceder a entornos para nostálgicos y a auténticos museos interactivos que nos permitirán conocer arque- ología informática, jugar con viejas técnicas de hacking y adquirir conocimientos para comprender mejor nuestros equipos y nuestra Internet actual. Comenzamos, tecleando en Termux: telnet telehack.com
Telehack es una soberbia recreación de la Arpanet/Usenet de los años 80 a 90. Esta experiencia multiusuario inter- activa incluye 25000 servidores y BBS‘s simulados de los principios de la red, miles de ficheros textuales, juegos de aventuras, intérprete de Basic y una librería de programas para su ejecución. En palabras de su creador, "Forbin", un ingeniero anónimo de Silicon Valley, ideó Telehack para que su hijo pudiese hackear sin peligro en un entorno ochentero/noventero similar al de las películas Wargames o Hackers.
Para disfrutar de Telehack lo mejor es crearse una nueva cuenta
con LOGIN. 27
.login username? XXXX
password: ******
Logged in user XXXX, last login 91d ago
You have mail.
Una vez logueados, podemos ver la lista de nuestros servidores
28
asignados con NETSTAT.
Aquellos que vayamos hackeando serán señalados con un asterisco.
@netstat
host
organization
location
----
------------
--------
adaptex
Adaptec Inc.
Grapevine, Texas
bnrunix
BNR, Inc.
Research Triangle
29
* genie
Genentech, Inc.
indetech Independence Technologies
30
South San Francisc
Fremont, CA
mimsy
University of Maryland, College Park College Park, MD
oddjob
University of Chicago
Chicago, Illinois
oracle
Oracle Corporation
Belmont, CA
rmc
Ryan McFarland Corporation
Texas
tandem
Tandem Computers, Inc.
Cupertino, CA
unh
University of New Hampshire
Durham, NH
veritas
VERITAS Software
Santa Clara, CA
Conectaremos, como no, mediante Telnet.
@telnet adaptex
Trying...
Connected to ADAPTEX
Adaptec Inc.
Tandy 4000 SCO XENIX 2.3.4GT
Authorized users only!
31
login:
Password:
*** ACCESS DENIED ***
connection terminated by remote host
Como era de esperar, no nos permite acceder.
Debemos buscar entre nuestros ficheros .exe herramientas
para hackearlo.
32
@dir
advent.gam
againstip.txt
changelog.txt
colossus.txt
…
Hallamos porthack. Lo ejecutamos y elegimos el nombre del
servidor a vulnerar.
Enter the code: 8254
enter host (? for list): ?
host
organization
location
----
------------
--------
33
adaptex
Adaptec Inc.
Grapevine, Texas
bnrunix
BNR, Inc.
Research Triangle
* genie
Genentech, Inc.
indetech Independence Technologies
34
South San Francisc
Fremont, CA
mimsy
University of Maryland, College Park College Park, MD
oddjob
University of Chicago
Chicago, Illinois
oracle
Oracle Corporation
Belmont, CA
rmc
Ryan McFarland Corporation
Texas
tandem
Tandem Computers, Inc.
Cupertino, CA
unh
University of New Hampshire
Durham, NH
veritas
VERITAS Software
Santa Clara, CA
enter host (? for list): adaptex
probing ADAPTEX for open sockets...
port service
desc
---- -------
----
21
ftp
File Transfer [Control]
23
telnet
Telnet
35
79
finger
217 dbase
Finger
dBASE Unix
244 inbusiness inbusiness
513 login
remote login a la telnet
Elegimos un puerto abierto obtenido tras el escaneo.
port to try? 513
attempting buffer overrun against port 513/login...
36
* adaptex security compromised *
installing TSR loopjacker...
adding user XXXX to system accounts...
uploading command aliases to remote shell...
** porthack complete **
Type TELNET ADAPTEX to login.
37
Note: To login, use your current username and password.
Your credentials have been installed on the remote system
and will grant you access.
Volvemos a telnetear, utilizando nuestras credenciales.
@telnet adaptex
Trying...
Connected to ADAPTEX [1]
38
INFO DEL PORTAL DE FORBIN
CONTINUARÁ... 1. http://telehack.com/telehack.html
Termux 5. Profundizando en Telehack. (2019-09-17 12:53)
39
Adaptec Inc.
Tandy 4000 SCO XENIX 2.3.4GT
Authorized users only!
login: XXXX
Password:
40
817.481.3391
You have no mail.
/etc/motd:
Note: EGROJ has ROOT here as of 26-May-16 19:29:21
Message from EGROJ:
41
> hACKED bY: _
> /
/
(_) /
/
/ _/ /_/
> / _// _ `/ / _ \ / / _\ \/ _ \/ _/ /_/
42
> / \
/\_, /_/ /_/ / /
/\
/_/ \ (_)
> oN /
/20160526|
/ -[hACK THE wORLD!]-
adaptex$ ls bbslist.txt bronze.gam depthcharge.bas health.myt
43
hi-e-wt.txt hot_wate.fas how2dotv.txt htt.txt
implosion.txt indylook.txt infinity.jok intro.txt
invent.rpt iptun.exe jcs-report-.txt 44
jumble.vt ka.txt kennedy.txt adaptex$ Ya estamos dentro, aunque no somos los únicos. Volvamos a otro de nuestros servidores hackeados:
45
@telnet genie
Trying...
Connected to GENIE
System: Genentech, Inc.
Location: South San Francisco, CA
Host: genie [72.14.63.18] ttyp3
46
login: xxxx
Password:
Last login: Sun 29 May 2016 09:12:49 AM PDT
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
All rights reserved.
47
RELEASE (GENIE) #0: Mon Feb 14 21:54:30 PST 2000 (415-266-1068)
Hassan bids you welcome...
Kerberos is sleeping...
Baalzephon is sleeping...
48
The comfort of turning 49 is the realization that you are
now too old to die young.
-- Diskson's Rule of 49
System Announcements: No new messages.
49
Ready
No new messages.
There are no messages in your incoming mailbox.
[1]
50
Ready
genie$ ls
51
abstract.132 bbs.list biomo.pas bioroster.txt checks.pas
ctdoom.gam cud452.txt epson.pas exampl.chk getnums.p
ls.c paradise.vt portblock.exe tem-ins.bas weekday.src 52
zeller.pas zeller.src
genie$ bbs
[more bbs.list]
GCG Programmers' BBS .................... (619) 278-5469
Singularity Hostel ...................... (703) 242-8084
53
CPCUG Member Info eXchg ................. (703) 319-0069
Dreaming City BBS ....................... (703) 354-2489
Land of Sky BBS ......................... (704) 254-7800
BitBoutique PCB ARCE $25 ................ (707) 778-8944
Nun-Beaters Anonymous ................... (708) 251-5094
Alpha Complex 1 ......................... (708) 418-5805
54
ChicagoLand Hub 10 ...................... (708) 620-8244
System Solutions, Wheaton IL ............ (708) 668-7030
The Software Shop ....................... (708) 759-6404
Danzig Platz ............................ (713) 444-3423
Pegasus on Line ......................... (713) 499-1857
Fantasy Uprising ........................ (713) 553-5191
BitBucket ST ............................ (713) 729-7555
55
Cadillac BBS ............................ (713) 939-0709
FIDO #11 Technical ...................... (714) 898-8634
Birnamwood Bytes BBS .................... (715) 258-8521
Inn/LastHome ............................ (715) 723-3552
Tras desplegar la lista de BBS´s hacemos uso de una nueva herramienta.
genie$ portblock
56
[run portblock.exe]
/*
* $Id: PORTBLOCK v1.66 3682 03-Oct-85 redragon $
*/
57
***********************************
* *
* PORTBLOCK *
* Block Open Port Host Access *
58
* -=[ by Redragon ]=*
* *
*
*
***********************************
59
Continue? (y/n)
88 eeeee 88 eeeee
88 8 8 88 8
60
8
88 88 8eee8 88 88 e'
88ee88 88 88 88ee88 e'
88 88 88 88 8
61
88 88eee88 88 8
Enter the code: 4847
portblock started host genie pid 41213
Type PS to see a list of running processes
genie$ PS
HOST GENIE PROCESS TABLE
62
2 running processes
pid user start program
------ ----- -------
41206 XXXX 7m ps
41213 XXXX 10s
63
portblock
genie$
Podemos realizar un wardialing al estilo del hacker de Juegos de guerra:
enter area code (? for list): 510
starting scan of 510...
64
dialing (510) 889-1883 NO CARRIER
dialing (510) 889-1884 NO CARRIER
dialing (510) 889-1885 NO CARRIER
dialing (510) 889-1886 NO CARRIER
65
dialing (510) 889-1887 CONNECT 19200
Connected to FMULLER
Fred Muller
NeXT Mach 2.1
66
Authorized users only!
login:
Incluso podemos vernos inmersos en delirantes situaciones, como buscando warez y trapicheando
con un cracker:
67
/ \ / \
\ \/\/ /\ \ \_ \_/ /
\ / / 68
\_ |
\ \
| \/\ / / /
\
/\
/ ( / | | \ >/
\
\/ \/ \/ v.1.0 \/
Chat Online.
69
xxxx> Hello, anyone there?
egroj: Yo yo, ah'm egroj, ah'm working here this day, do you need somethin`? you know das right!
xxxx> Eh, I don't know... I mean, yes, I was looking for something that I need
egroj: Yo Well, you know dat being here you be violating copyright laws? what 'chew trippin foo'
xxxx> Yeah, I know
egroj: Yo Then you know dat dis here iz completely illegal. Here we's provide different types o'
Warez otay buh-weet
egroj: 0-day, Apps, Cracks, Dox, EBook, Games, Keygens, Movies, Portables, Scripts, Subs, Serials, 70
TV-Rips an' mo'! slap mah fro!
xxxx> Eh? Ok, perfect, I need a serial for antivirus
egroj: Yo Which antivirus? Ya' know what I'm sayin'?
xxxx> Its name is Morton Antivirus
egroj: Yo Wait, ah'll see if ah gots it .. and git Sheniquah's ass back ova' heeah.
egroj: Yo otay, ah do not gots da serial, but if ah gots uh Keygen fo'dat Antivirus,
71
you wants it? an don't make me pull mah gat!
Se podría dedicar todo un libro a las inmensas posibilidades de Telehack.
Desde la lectura de textos completos, entre ellos La caza de hackers de Stirling o Underground
de Dreyfus y Assange, consulta de fondos técnico-históricos de Usenet, las diversas aventuras
gráficas o la original forma de dosificarnos la información, saltando de servidor en servidor.
[2]
ENLACE A WIKI
1. https://images-wixmp-ed30a86b8c4ca887773594c2.wixmp.com/f/813c1da0-43e1-49be-b37b-fd262ac140b3/d4rjxmg-210 756c8-c15d-4d1d-a2fb-99bc2d73461f.jpg/v1/fill/w_900,h_ 2. http://telehack.wikia.com/wiki/Telehack_Wiki
72
1.3
October
Searching. Del control parental al estatal 1 (2019-10-01 16:36)
IFRAME: [1]https://www.youtube.com/embed/syBpHvWxsss?feature=player _embedded La película "Searching" fue una de las grandes sorpresas dentro de la producción cinematográfica de 2018.
Se desarrolla integramente dentro de pantallas, de ordenador, cámaras de vigilancia, TV...
El argumento no resulta excesivamente novedoso: un padre coraje que, ante la desaparición de su hija, realiza una investigación forense informática para conseguir pistas sobre su paradero.
Lo inquietante del guión, por lo real que resulta, es el escaso conocimiento que el protagonista tiene de su familia; sobre todo de su hija y, también, de su hermano.
Todos los secretos que necesita para rastrear a su hija están encerrados en su portatil, redes sociales y contactos.
No solo nuestros menores, nosotros mismos vivimos ensimismados en pantallas, en general conectados a redes sociales.
73
Las personas consultan sus móviles a hurtadillas en el trabajo, los dueños de perros les pasean sin mirarles (y a veces sin saber dónde defecan), por los pasillos de los transportes colectivos se desplazan legiones de zombies sin levantar la mirada de sus smartphones, incluso la gente sale a pasear sin dar un solo vistazo a su entrorno; absortos en sus redes sociales.
No resulta extraño que en esta sociedad en que quedamos a charlar o a comer y no miramos a nuestros interlocutores; exista un ansia por saber cosas de las personas con las que ya no nos comunicamos.
¿Cúal sera la mejor forma de saber? ¿Hablar? ¿Sin emojis y actualizaciones de estado? No, por Dios. La mejor forma es la que nos ofertan en el siguiente video:
[2]
IDEO Usted tiene derecho a saber !!
Lema de Hackerville
A estas alturas del post ya se habrá captado la ironía. Y los padres pensarán: "El control parental de los dispositivos de mis hijos es un derecho". Cierto, pero el control parental debe empezar por la verbalización, el diálogo y la negociación; antes de proseguir con la tecnología.
Con la implantación de tablets y portátiles en las clases, hay familias que exigen restringir el accceso a Internet de los dispositivos en horas no lectivas.
La prohibición no es control parental. Si los menores no tienen una base educativa familiar, buscarán los contenidos inapropiados por otros medios y podrán ser victimarios de acoso y otros muchos problemas.
Para las familias que no se sientan satisfechas con el diálogo y el software gratuito; existen aplicaciones tipo "1984" o "Gran hermano". Después de todo, ¡Usted tiene derecho a saber!
74
[3]
Demo de Spyzie
1. https://www.youtube.com/embed/syBpHvWxsss?feature=player_embedded 2. https://drive.google.com/file/d/0B5-Y0-D_8ay3Y2QtWFJpVUhMTEU/view 3. https://my.spyzie.com/livedemo/dashboard.html?lang=es
Searching. Del control parental al estatal 2 (2019-10-04 10:17)
[1] 75
A veces me he preguntado qué hubiese pasado de haber surgido el III Reich en los tiempos de la informática. Si con teléfonos "atados", máquinas de escribir y archivos de papel y tinta pusieron al mundo al borde del abismo, ¿qué uso diabólico podrían haber dado a los ordenadores? Angela Merkel nació en Alemania Oriental (antigua RDA), en plena guerra fría, y conoció muy bien el control estatal ejercido por la STASI, un departamento ministerial destinado, casi en exclusiva, a espiar a sus ciudadanos desde 1950 a 1989. La STASI estuvo dirigida en su etapa más exitosa, y hasta la caída del muro de Berlín, por un maestro de espías conocido como "el hombre sin rostro". Sus memorias son imprescindibles para cualquier aficionado al mundo del espionaje, revelando tanto el juego sucio a los enemigos occidentales (por ejemplo apoyo a terroristas internacionales) como el continuo tira y afloja con sus homólogos aliados rusos.
[2] 76
Markus Wolf también fue el gran organizador del críptico sistema de archivo analógico que se puede visitar en el [3]Museo de la Stasi ¿Cómo pudo entonces Angela Merkel comparar los métodos de la NSA con los de la totalitaria STASI? Los oficiales de Wolf, unos 90000, recogían Humint, inteligencia humana de unos 180000 informadores no oficiales. Si sumamos a estas cifras a casi 2 millones de afiliados al Partido, en una población en la época de 17 millones de personas; no resulta raro comprender cómo llegaron a acumular decenas de millones de archivos, casi dos milllones de fotos referenciadas y 25000 grabaciones de audio y video. Todo ello recogido en un mastodóntico archivo con 111 kilómetros de estantes (ver foto superior) y la superficie de 2500 campos de fútbol. Wolf quería proteger a sus agentes, algunos en la alta cúpula política de la Alemania del oeste, a toda costa. Diseñó un sistema con 41 millones de tarjetas indexadas en 4000 subsistemas diferentes. Una serie de números de registro enlazaba con una serie de números de archivo; de tal modo que aún en la actualidad se está intentando desentrañar esta maraña de información. El destino de los disidentes que eran denunciados, por un comentario realizado en la supuesta privacidad de sus hogares, por reunirse con personas sospechosas o por cualquier situación más propio de la pesadilla orwelliana de 1984; acababa en las celdas que tambien se pueden visitar en el museo. [4] 1. https://www.visitberlin.de/system/files/styles/visitberlin_gallery_item_visitberlin_mobile_1x/private/imag e/kw27-4-stasizentrale_DL_PPT_0.jpg?itok=VH1DNNcm 2. https://images-na.ssl-images-amazon.com/images/I/5160NcNrLaL._SR600 2C315_PIWhiteStrip 2CBottomLeft 2C0 2C 35_SCLZZZZZZZ_.jpg 3. https://www.stasimuseum.de/en/enindex.htm 4. https://tripedia.info/wp-content/uploads/2017/03/I.Stasi-Museum.jpg
77
Searching. Del control parental al estatal 3 (2019-10-18 16:52) «Traerán desesperación a la humanidad, y entonces, una vez que hayan sucumbido a su salvajismo y orgullo, el destino de esos hombres será, en verdad, terrible.» Los oráculos de la Sibila, 3. 182-3. [1]
En la Roma republicana del SPQR, en los siglos inmediatamente anteriores al nacimiento de Cristo, los oráculos de la Sibila eran secreto de Estado. Fuertemente custodiados y sólo leídos en ocasiones de grave crisis; por ejemplo cuando el victorioso Aníbal amenazaba la ciudad. Los romanos seguían ciegamente esos textos y no dudaban en realizar brutales sacrificios humanos si los poemas proféticos los exigian, en aras de la salvación de Roma. A pesar de todo, los enemigos de Roma manejaban parte de esa información, filtrada por diversos medios, y no dudaban en utilizarla como arma arrojadiza. En el tema del control parental esta "maldición" de la Sibila podría reflejarse en los smartwatches utilizados por padres alemanes para grabar ilegalmente las clases de sus hijos. 78
[2] ENLACE A NOTICIA
[3]
De vuelta a nuestro siglo XXI, es bastante famoso el caso de "la hacker de la pala", una señora de 75 años que estaba buscando conducciones subterraneas de cobre para robar y cortó accidentalmente la red troncal de Internet de su país. Dejando buena parte de Armenia sin conexión durante horas. Estos hechos ocurrieron en 2011. Probablemente la NSA y el GCHQ británico tuvieron una idea similar mucho antes. La tesis era la siguiente: ¿Para qué preocuparse espiando individualmente a objetivos de interés, cuando todas las redes troncales submarinas de Internet pasan por unos puntos concretos? ¿Por qué no hacer una copia de toda esa información y buscar allí lo que se quiera? [4] 79
INSTALACIONES DEL GCHQ
Las revelaciones de Edward Snowden sorprendieron al mundo al exponer dicha tesis. Ya no era necesario buscar la aguja en un pajar, te quedas con todos los pajares y utilizas imanes (Prism, Xkeyscore...) para encontrar las agujas. Los archivos de la NSA eran digitales, a diferencia de los de la Stasi. ¿Qué espacio de almacenaje hubieran requerido en caso de pasarlos a papel? En el siguiente enlace el perturbador resultado. [5]Archivos Stasi vs NSA Ahora comprendemos el monumental cabreo de Merkel con Obama por el temita de las escuchas. [6]
1. https://upload.wikimedia.org/wikipedia/commons/1/19/DelphicSibylByMichelangelo.jpg 2. https://www.lavozdegalicia.es/noticia/sociedad/2017/11/19/alemania-prohibe-relojes-infantiles-inteligentes -pueden-usarse-espiar/0003_201711G19P32992.htm 3. https://s3.eestatic.com/2017/11/19/actualidad/Actualidad_263237272_130064187_600x600.jpg 4. https://es.ubergizmo.com/wp-content/uploads/2016/10/gchq.jpg 5. https://opendatacity.github.io/stasi-vs-nsa/english.html 6. https://peru21.pe/resizer/sbHL1ymBvXXv9ezJ-2P2wVqpv0k=/940x569/smart/arc-anglerfish-arc2-prod-elcomercio.s 3.amazonaws.com/public/ZJHDAAKNJRDAXCV6I76ZDPCDAI.jpg
Searching. Del control parental al estatal 4 (2019-10-23 16:59) 80
[1]
81
Combates en Khirbet Ghazaleh. Fuente Twitter.
¿Puede una pieza de malware provocar consecuencias en una guerra convencional? Muchos paises disponen de cibercomandos con poderosas armas digitales diseñadas ex profeso. Pero, ¿Se podría reciclar malware convencional, del que infecta nuestros ordenadores, para un uso bélico? Jean-Pierre Lesueur es un brillante programador francés experto en ciberseguridad. En 2008 diseñó un RAT (Troyano de acceso remoto) con fines de investigación. En 2014 se supo que Dark Comet, el RAT de Lesueur, había sido usado para extraer información de la resistencia siria, a favor del gobierno de Bashar al-Ásad. ¿Pero cómo? Diciembre de 2013. Chat de una página falsa de apoyo a la oposición anti Ásad. Haidar: Oficial de la resistencia anti gubernamental. Tras consultar perfiles de mujeres que visitan la página. Amina: Supuesta simpatizante anti Ásad. En realidad un ciberpirata del Departamento de Seguridad Nacional sirio. A: ¿Cómo te conectas?¿Ordenador o móvil? H: Con los dos. ¿Qué edad tienes? A: Cumplo 27 el día 27 H: Yo cumplo 28 el mismo día !!! A: Te estás quedando conmigo !! H: Te aseguró que no. Lol A: Entonces, una dulce coincidencia que se merece un regalo anticipado. (Envío archivo Foto _Amina.pif) ... H: Eres una belleza. Me vuelves loco 82
[2]
Horas mas tarde, unos oficiales bigotudos, en la sede
del Departamento de Seguridad Nacional, operan la parte cliente de Dark Comet y conectan con el servidor instalado en la red de ordenadores del cuartel de Haidar.
Consiguen capturar cerca de 8 gigas de información, miles de contactos, decenas de miles de conversaciones, cuarto de millón de mensajes.
Entre la información más relevante tras aplicar los primeros filtros: posiciones de las fuerzas rebeldes, rutas de abastec- imiento de tropas, llegada de barcos con armamento, horarios de próximas entregas.
La inteligencia que primero llegó a los generales de Ásad fueron los detalladísimos planes de ataque contra la estratég- ica ciudad de 15000 habitantes de Khirbet Ghazaleh.
1. https://pbs.twimg.com/media/BtAoBltIEAAI1rb.jpg 2. https://i0.wp.com/www.jfabello.es/wp-content/uploads/2015/05/DarkComet.png?w=820
83
1.4
November
Westworld existe 1. (2019-11-03 21:20)
La historia original de Westworld proviene de los lejanos setenta del siglo pasado. A partir de un guión del prolífico Michael Chrichton, él mismo dirigió una película de culto conocida en España como "Almas de metal". El personaje principal es "El hombre de negro", un pistolero robótico encarnado por un inquietante Yul Brynner. La cinta ha envejecido bastante bien y merece la pena revisitarla. Pensemos que Brynner había realizado un papel de líder positivo en el western clasico "Los siete magníficos". Verle en un papel de terminator del oeste es sin duda el punto fuerte de la película. Westworld es, en esencia, un parque temático para ricachones aburridos, que buscan un plus de emoción en su interacción con robots ultra realistas, con un fuerte componente de sexo y violencia. "Almas de metal", en sus noventa minutos, no acababa de explicar el porqué del mal funcionamiento de sus robots, que ya no se dejaban matar con tanta facilidad por los clientes; y que acababan desatando una masacre. La nueva Westworld es una serie de HBO, que como suele hacer la productora, navega entre escenas sangrientas y desnudos explícitos; que la convierten en un producto no recomendado para menores. Salvando este escollo, tan manido por muchas series actuales, aquí sí descubriremos el porqué de esta sublevación espartaquista de los esclavos cibernéticos y su vendetta contra la humanidad. 84
[1]
Otro gran acierto de la serie es el personaje de "El hombre de negro", representado por el carismático Ed Harris, con unos cuantos western modernos de calidad a sus espaldas.
Pero Harris no es un robot, es un humano depredador que va buscando uno de los grandes secretos de Westworld, algo que supuestamente escondió el padre fundador del parque, interpretado por CHA-CHAN: Anthony Hopkins.
Otro de los grandes secretos del parque temático consiste en un gran proyecto de minería de datos, cuyo cometido no puedo revelar sin incurrir en pecado grave de spoiler.
Esta parte de la "narrativa" de la serie es quizá la más perturbadora y la que induce a pensar tras leer algún libro como [2]éste:
[3] 83
que el concepto de Westworld realmente existe en nuestro mundo, pero eso lo trataremos en futuras "narrativas"
1. https://upload.wikimedia.org/wikipedia/en/1/1d/Westworld_ver2.jpg 2. https://www.amazon.es/Armas-detrucci C3 B3n-matem C3 A1tica-ESPECIALES-Cathy/dp/8494740849 3. https://images-na.ssl-images-amazon.com/images/I/51adjZwISOL._SX318_BO1,204,203,200_.jpg
Westworld existe 2. (2019-11-17 11:45)
[1] 84
2020. Año de la Rata. Un joven ciudadano despistado cruza un semáforo en rojo. Ésta acción es intolerable en una macrociudad de 23 millones de habitantes. Cuando se acerca, a través del espeso velo de contaminación, a la marquesina del autobús que quiere tomar; comien- zan a mirarle con gesto reprobatorio. Recibe un mensaje en su móvil. Acaban de retirarle la mitad de los créditos sociales por la infracción cometida. Ahora lo comprende; la otra mitad ha sido conmutada por el algoritmo, por mostrar su acto incívico en las pantallas led de las marquesinas cercanas. Decide caminar para evitar la verguenza. Obviamente, el semáforo que se saltó estaba equipado con una cámara conectada a la nube, donde unos poderosos algoritmos de deep learning reconocen la biometría y deciden automáticamente restar o sumar créditos a sus ciu- dadanos. Una nueva vibración en el móvil le informa que una cantidad de dinero le ha sido retirada de su cuenta. Se le sugiere acudir a un acto del partido, programado durante la semana, para recuperarla. [2] 85
Se coloca la mascarilla anti contaminación y va recorriendo manzanas para alejarse de la zona donde emitirán su imagen durante un tiempo. Sabe que las cámaras le observan, intenta no delatar su ira y frustración. De hecho, entre las cámaras públicas y las privadas con acceso gubernamental total, más de cuatrocientos millones de ojos electrónicos vigilan a la población. Le gustaría esconderse en un ángulo muerto y consultar su aplicación de crédito social. Un par de amigos usaron bots en videojuegos y les pilló el funcionario policial que vigilaba el ciber café. Van a tenerlo dificil para encontrar trabajo en los próximos meses. Sólo por ser amigo suyo, él mismo sufrió un pellizco en sus créditos y se incrementó el precio de su abono transporte y su tarifa de datos móviles. ¿Qué debería hacer? ¿Abrir la aplicación y mostrar su genuina preocupación? ¿Eso representaría un acto de contric- ción para el algoritmo? ¿O quizás sería interpretado como la rebeldía de un ciudadano reaccionario? ¿Habría hecho bien en caminar o debería haber bajado la vista y aceptar las miradas reprobatorias de los viandantes? Uno de sus amigos gamers le comentó que, a raiz del problema de los bots, había perdido muchos puntos de visibilidad en la aplicación de contactos oficial. Ya no tenía acceso a ninguna chica universitaria. También había corroborado que varios compañeros le esquivaban fuera del horario lectivo e incluso algunos miembros de su familia parecían querer evitarle. Cuando finalmente llega, tarde, a sus clases de la Universidad, le informan que uno de sus profesores favoritos ha sido despedido. Al parecer intentó utilizar una VPN para acceder a Internet fuera del Gran Cortafuegos. El uso de técnicas antiforenses, como la limpieza del historial de navegación, delató su culpabilidad. 86
¿George Orwell se quedó corto? ¿Westworld existe? El enemigo conoce el sistema.
[2] 87
IFRAME: [3]https://www.youtube.com/embed/WcP6yqf-3wc?feature=player _embedded
1. https://knews.kg/wp-content/uploads/2018/05/Orwell_1984.jpg 2. https://static.independent.co.uk/s3fs-public/thumbnails/image/2015/12/22/23/Sesame-Credit.jpg?w968h681 3. https://www.youtube.com/embed/WcP6yqf-3wc?feature=player_embedded
1.5
December
Westworld existe 3. (2019-12-08 14:23)
Desde que a principios de los años 2000 se popularizó el Informe Pisa, los sistemas educativos, sobre todo en los países miembros de la OCDE; se han visto inmersos en el mundo de la Estadística y de los algoritmos. 87
En Washington D. C. se impuso desde 2009 el sistema IMPACT. Dicho sistema, de evaluación del desempeño docente, recaba una miriada de items que alimentan un algoritmo de caja negra, diseñado por una empresa privada; externa a la administración estatal. Según podemos ver en su web, la misión de IMPACT consiste en "retener" entre el 93 y el 94 % de los mejores edu- cadores en las escuelas públicas del estado; sobre todo en aquellas "de alta pobreza". Hay que señalar que en este distrito educativo el número de alumnos que precisa ayuda para costear la comida se eleva a las tres cuartas partes del total. El planteamiento es interesante. Se incentiva con dinero y otros reconocimientos a los mejores profesores (obsérvese que no he utilizado en esta ocasión el término educadores), con lo que se evita su éxodo a la educación privada. Lo que no aclara la web es ¿qué sucede con el 6 o 7 % de profesores "malos" que no son "retenidos"? En el más puro estilo Westworld son desechados; es decir, despedidos. Bueno, pero si son tan malos que no llegan ni a la décima parte de la nota, lo mejor es que se dediquen a otras labores ¿no? Al igual que el informe PISA ha sido criticado por las similitudes que muestra con una prueba de medición de CI y por el hecho de no reflejar necesariamente la bondad de los sistemas educativos; IMPACT adolece de falta de transparencia y de primar "el valor añadido". Básicamente el valor añadido se refiere a que si un alumno ha obtenido unas determinadas puntuaciones en las prue- bas estatales en una etapa anterior, las pruebas realizadas en cursos siguientes deberían mantener o elevar esas puntuaciones. En ese caso los profesores del año en curso estarían demostrando que han aportado 88
un "valor aña- dido".
89
Al igual que los profesores canadienses se quejaban de programar sus clases para aprobar un examen tipo Pisa, los profesores americanos que veían en peligro sus trabajos y la supervivencia de sus centros podían tener tendencia a "dar un empujoncito" a sus alumnos. Las leyendas urbanas mencionan la famosa frase "Are you sure?" cuando un alumno ha elegido una respuesta incor- recta a una pregunta. Si existen cuatro opciones para una respuesta, esta claro que con un par de "Are you sure?" la cosa quedaría casi vista para sentencia. ¿Y si directamente se actuara modificando a posteriori las respuestas incorrectas? Cathy O’Neil cuenta en Algoritmos de destrucción matemática el caso de una brillante y valorada profesora que fue despedida tras sus nefastas calificaciones en IMPACT . Intentó impugnar esta decisión, pero la empresa propietaria del algoritmo alegó que no podía hacer público su código. Por lo tanto la profesora no podía conocer de dónde provenían sus bajas calificaciones. Tras largas investigaciones, la profesora descubrió que las pruebas estatales de cursos anteriores de sus alumnos, estaban "infladas". Los exámenes estaban manipulados y eran anormalmente altas. Al realizar la prueba en su curso, cayeron al abismo y ella fracasó en aportarles su "valor añadido". Cathy cuenta que la profesora empezó a trabajar al poco tiempo en un colegio privado. Los peligros de los algoritmos de caja negra, que otorgan o niegan créditos e hipotecas, marcan precios de seguros y servicios, deciden dónde pueden estudiar nuestros menores y un etcétera cada vez más largo, solo son comparables al uso inconsciente o malicioso de la Estadística. Y esto no solo sucede a miles de kilómetros. Porque ¿a tí te ha pedido el INE permiso para rastrear tu móvil? A mí tampoco. [1]
El rastreo del INE
George Orwell parecía un visionario, pero se quedó muy corto. Os dejo, voy al taller a que me pongan en cueros y me reparen. [2]
90
1. http://www.rtve.es/noticias/20191118/ine-comienza-hoy-rastrear-millones-moviles-para-conocer-movilidad-es panoles/1991280.shtml 2. https://otiumzine.org/wp-content/uploads/2016/06/westworld-pelicula.jpg
Caminos aleatorios en números irracionales (2019-12-11 19:13) ¿Qué es un camino aleatorio? Se podría decir que una trayectoria errática, la de un hombre borracho que intenta volver a casa o la de un pájaro que ha perdido la orientación y debe encontrar el camino a su nido.
Proyecto de SA, AJ, JT y DC
Como herramienta matemática es ampliamente utilizada en genética, física, biología, psicología, economía e infor- mática; entre otros campos. Concretamente en Informática se utiliza para estimar el tamaño de la Web y en algoritmos fundamentales como el Page Rank del buscador de Google.
91
Proyecto de RJ, EG, LC y GH
En nuestro proyecto hemos partido de números irracionales, obtenidos a partir de raices no exactas, de números de cuatro cifras. El proceso seguido para dibujar el camino ha sido el siguiente:
1. Cada equipo deberá conseguir 40 cifras decimales de su radical (mediante Wolfram|Alpha).
2. Se convertira cada cifra decimal de 0 a 9 a binario. Se aconseja realizar una tabla. Se pueden añadir ceros delante para tener grupos de 2 bits. P. ej 01 10 3. En papel cuadriculado, se dibujará el camino aleatorio para esas 40 cifras. 00 - Arriba, 01 -Derecha, 10 - Abajo, 11 - Izquierda. 4. Los colores a utilizar serán, en lo posible, rojo, naranja, amarillo, verde, azul, añil y violeta. Enjoy it! 92
Proyecto de SB, AR, LB y AO Vemos que con 40 decimales muchos de los caminos parecen tener un desarrollo bastante horizontal. Evidentemente la aleatoriedad se aprecia mejor con miles de cifras. El siguiente ejemplo es bastante visual: [1]
¿Pero cómo sería un camino no aleatorio, por ejemplo de un número racional periódico puro o mixto? 93
Éste sería un ejemplo, bastante preparado, pero que ilustra el patrón ordenado de sus decimales frente al caos que gobierna a los números irracionales.
[2]
[3] Enlace de interés
94
Nuestro post ha sido recomendado por el Director de Ciberdefensa del Ejército del Aire. ¡Muchas gracias, coronel! 1. https://cifrasyteclas.com/wp-content/uploads/2014/05/Imagen-de-un-mill C3 B3n-de-d C3 ADgitos-de-un-n C3 B Amero-pseudo-aleatorio.png 2. https://cifrasyteclas.com/wp-content/uploads/2014/05/Rastro-del-n C3 BAmero-racional-que-dibuja-la-letra-Q -en-negrita-de-pizarra.png 3. https://cifrasyteclas.com/como-usar-el-baile-de-la-yenka-para-estudiar-el-numero-pi/
95
Mártires. Hacking de bases de datos científicos 1. (2019-12-23 11:51) En [1]posts anteriores hablamos de la Inyeción SQL y su prevalencia para asaltar todo tipo de base de datos (BBDD). En general los asaltantes serán delincuentes, que extorsionarán a las empresas o venderán, a veces en cantidades de cientos de millones, las credenciales de acceso de sus clientes, a unos pocos céntimos por cabeza. Tambien conocimos a [2]PhineasFisher, un misterioso hacktivista, que rompió la seguridad de varias empresas, que vendían malware de seguimiento a regímenes totalitarios, y de una de las fuerzas y cuerpos de seguridad del estado en nuestro propio país. Quizás el título de la entrada, Mártires, resulte oscuro. Sin embargo, en el submundo del hacktivismo contra las BBDD científicas hay personas que han perdido su libertad y su vida en aras de un hipotético acceso libre al conocimiento. Pero, como dijo Jack el destripador: "Vayamos por partes". En primer lugar, ¿Qué es una BBDD científica?
Siempre me han gustado las bibliotecas. Las públicas, las universitarias... Las de algunos centros van desapareciendo. Sus volúmenes casi no se podían leer debido al polvo acumulado por la falta de uso y mantenimiento.
En la época heroica, pre Internet, se podían encontrar y leer maravillas como las de la imagen. Donde mi incipiente inglés técnico no daba para más, disfrutaba con las magníficas ilustraciones (aún no infografías) y las cuidadas maque- taciones. Hoy en día podemos seguir saboreando la lectura en papel, incluso con versiones en castellano.
96
[3]Enlace Y bien, ¿qué autores están detrás de estos artículos de investigación en las ramas más punteras del saber humano?
97
Esforzados investigadores -que no cobran por publicar-, cuyos artículos son cuidadosamente seleccionados por los editores y revisados por pares (otros científicos del mismo campo); que tampoco suelen cobrar por sus revisiones. En este punto comienza la controversia. Los investigadores deben publicar sus trabajos con estas prestigiosas edito- riales para acceder a puestos y subvenciones. [4]
Mientras, proyectos financiados con dinero público, por ejemplo un tratamiento eficaz contra un determinado cáncer, quedan al margen del dominio público; vulnerando además las leyes de Ciencia de muchos paises. Sin ir más lejos todos los proyectos financiados con fondos europeos.
Éstas BBDD se encuentran totalmente digitalizadas y toda Universidad que se precie (En EEUU también muchos High Schools) deben pagar una fuerte cantidad por la suscripción. En España la suscripción de nuestras universidades nos cuesta más de 25 millones de euros al año, pagados solo 98
al principal editor.
99
¿Será posible compatibilizar el genuino derecho a la propiedad intelectual de las grandes editoriales con el necesario flujo de conocimiento en la comunidad científica? [5]
Aaron Swartz pensaba que no. Una de sus máximas era: La información es poder. Pero como todo poder, hay quienes quieren mantenerlo para sí mismos. ¿Qué separaba a Aaron de su objetivo? Apenas un débil velo como éste:
Pero, descorrerlo, de forma ilegal, se llevó por delante toda su prometedora vida. 10 0
1. https://matescity.blogspot.com/2019/09/inyeccion-sql-el-riesgo-mas-critico-en.html 2. https://wp.sindominio.net/blog/hackback-conversando-con-phineas-fisher/ 3. https://www.scientificamerican.com/magazine/sa/1985/08-01/ 4. https://cloud10.todocoleccion.online/coleccionismo-revistas-periodicos/tc/2016/10/13/10/62498596.webp 5. https://upload.wikimedia.org/wikipedia/commons/thumb/7/78/AaronSwartzPIPA.jpg/330px-AaronSwartzPIPA.jpg
Mártires. Hacking de bases de datos científicos 2. (2019-12-30 08:31)
En el anterior artículo de la serie, habíamos cerrado con la imagen del formulario de logueo de una BBDD científica; y con el triste destino del malogrado [1]Aaron Swartz. También comentamos el fácil acceso a éste tipo de BBDD. Un par de capítulos de un libro como éste y cualquiera podría entrar como Pedro por su casa.
[2] Enlace al libro
Aaron no buscaba esa simpleza. Recordemos que cualquier estudiante o investigador asociado a una Universidad puede consultar esas BBDD gracias a las millonadas que el estado paga a las editoriales. No quiere decir que no se lo ganen, aunque sus poderosos lobbys (grupos de presión), den la batalla para evitar cualquier legislación que les perjudique lo más mínimo. En 2011 comenzó el calvario de Swartz. Por aquel entonces ya era un destacadísimo programador, escritor, empresario y activista político, con resonados éxitos en todos esos campos. 101
El documental "La historia de [3]Aaron Swartz, el hijo de internet", recoge su increible trayectoria profesional.
Creó un script en Python con el que descargó cerca de 5 millones de artículos y documentos de la BBDD de JSTOR.
La empresa prefirió llegar a un acuerdo con Aaron, pero la fiscalía federal fue a por todas, solicitando una pena máxima de 35 años y una multa millonaria.
Bien por el estrés sufrido por la acusación, bien por una depresión que arrastraba desde tiempo atrás; Swartz se suicidó a principios de 2013. En el video podemos escuchar a su pareja, en su memorial.
IFRAME: [4]https://www.youtube.com/embed/jVEv8VH23G0?feature=player _embedded
[5] 10 2
En otras ocasiones hemos comentado la gran diferencia que existe (aunque todos entren en el campo de la ilegalidad) entre un desarrollador de malware o un pirata informático con ánimo de lucro y un hacktivista.
Sin que el hacktivismo justifique en ningún caso el daño a equipos, la paralización de actividades o la filtración de datos que puedan afectar la seguridad de las personas.
Aún así, muchos aplauden determinadas campañas de Anonymous, disfrutan cuando se descubre la venta de malware a gobiernos, por parte de empresas legales, o llegan a los medios filtraciones de blanqueo de capital, de líderes políticos y personajes públicos.
No olvidemos que siempre existen daños colaterales. Lo triste es que dependamos de insiders o hacktivistas para descubrir cosas que debería investigar la justicia. 103
En la próxima entrega hablaremos de otra activista anti monopolio de BBDD científicas, Alexandra Elbakyan. Neurocientífica y programadora. Su web Sci Hub, cien veces cerrada y vuelta a abrir, constituye la bahía pirata de los investigadores.
Los tribunales americanos condenaron a Alexandra a pagar 15 millones de dólares por infracción de derechos de auto. Veremos su caso en breve. 1. https://www.genbeta.com/activismo-online/por-que-acabar-con-aaron-swartz 2. https://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html 3. https://es.wikipedia.org/wiki/Aaron_Swartz 4. https://www.youtube.com/embed/jVEv8VH23G0?feature=player_embedded 5. https://www.eff.org/files/swartz-curious.jpg
10 4
105
2.
2.1
2020
January
Mártires. Hacking de bases de datos científicos 3. (2020-01-05 11:25)
Los universitarios que acabamos nuestra formación en la época pre-internet, debimos enfrentarnos a trabajos de investigación, proyectos fin de carrera, tesis...
[1]
Se requería consultar unas cuantas docenas de fuentes bibliográficas, que debíamos rastrear en aquellos antiguos sistemas de archivos de fichas; y mediante continuos requerimientos de material al bibliotecario.
Recuerdo con espanto al bibliotecario de mi centro, volviendo del interior de la biblioteca, con mirada perdida y una pila de libros, manchados de sangre.
[2] 10 6
Al parecer se había cortado una muñeca con un cristal roto de una librería, al extraer uno de los volúmenes solicitados. En la actualidad las polvorientas fichas han sido sustituídas por rápidos metabuscadores que localizan los recursos en bibliotecas de toda una comunidad autónoma o incluso en varios países. Los voluminosos, y generalmente desfasados, libros y revistas técnicas que consultábamos, se pueden encontrar facil- mente a golpe de clic. Encontrar no es lo mismo que acceder. [3]
107
No todas las universidades pueden permitirse el acceso a BBDD biomédicas y científicas para su personal y estudiantes. Especialmente las de países menos desarrollados. Y si lo hacen, será seguramente repercutido en la matrícula.
La kazaja Alexandra Elbakyan estudió en la época post-milennial. La bibliografía ya era digital, y cuando tenía que consultar información se encontraba con algo similar a esto:
Este ejemplo corresponde a un MOOC de Ciencia Forense que he seguido en la Universidad de Lausana. El profesor propone unas lecturas para profundizar en los módulos.
En éste caso es un artículo de 2 páginas, publicado en 1991 sobre estadística aplicada a la identificación de ADN.
10 8
Al intentar acceder al texto sucede lo siguiente:
109
¿31.50 $ por un artículo de 2 páginas de hace casi treinta años?
Volví a rastrear los módulos en busca de posibles credenciales temporales para el curso, o similar.
Por fin, en el foro, descubro que el director del curso pide que se le mande un correo y él adjuntará en la respuesta los PDF seleccionados. Por supuesto no voy a dar nombres para evitarle problemas.
Alexandra, como neuroinvestigadora, debía leer decenas de artículos de su especialidad. A esos precios, le resultaba totalmente inviable.
¿Cuál era el mecanismo "gratuito"? Éste:
[4]
11 0
Todo científico que no trabaje para una empresa privada estará encantado de compartir su trabajo con otros colegas. Alexandra aprendió HTML a los doce años, gracias a tutoriales gratuitos. En el High School ya programaba en PHP, Delphi y Ensamblador. Se convirtió en una auténtica hacker, que frecuentaba sitios piratas de descarga de ebooks científicos, que tanto abundan en los servidores de la Europa oriental y la India. Con sus habilidades de programadora, consiguió burlar el bloqueo de webs como LiveJournal, decretado por el gob- ierno kazako. La petición de material directamente a las fuentes y sus poderosos scripts fueron el germen que, en 2011, le llevaron al lanzamiento de Sci-Hub. En menos de dos décadas se había pasado de esto:
111
[5]
11 2
A esto:
1. https://upload.wikimedia.org/wikipedia/commons/thumb/7/7e/Schlagwortkatalog.jpg/330px-Schlagwortkatalog.jp g 2. https://www.eldigitaldeciudadreal.com/wp-content/uploads/2018/04/mujer-libro-biblioteca-620x330.jpg 3. https://upload.wikimedia.org/wikipedia/commons/thumb/2/22/Alexandra_Elbakyan_(cropped).jpg/330px-Alexandra _Elbakyan_(cropped).jpg 4. https://engineuring.files.wordpress.com/2018/07/36928352_351126828.jpg?w=768 5. https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcT6I91eeX4A9G8nyxfSSwd85W1Z2Dcq95WBE66BwXT2o7t_NANT&s
Entrevista a Lórien Doménech Ruiz. (2020-01-07 17:48)
Entusiasta de la seguridad informática, especializado en la parte defensiva. Inicié m[1]i carrera como programador tocando varias tecnologías en diferentes consultoras y escalando hasta jefe de equipo en varios proyectos. El interés por la ciberseguridad desde antes de pasar por la universidad, me llevó a cursar un Máster en Informática Forense y Delitos Informáticos mientras trabajaba. Esto derivó a un cambio en mi carrera profesional, centrándome en la parte defensiva. 113
Tras un tiempo como contratista independiente, realizando Periciales Informáticas, Auditorias Web, Tasaciones y Val- oraciones Informáticas; me incorporé como Manager a Prosegur Ciberseguridad para abrir la línea Digital Forense y DFIR (Digital Forensic and Incident Response). Actualmente trabajo como Especialista Senior en DFIR en Minsait (Indra), con trabajo de campo y gestión de proyectos. Funciones principales: respuesta a incidentes, análisis forense, análisis de malware y threat hunting (defensa activa frente a amenazas). P: ¿A qué edad despertó tu vocación informática? En qué circunstancias. Primeras experiencias y situación técnica de la época en relación al presente. Desde la infancia, arreglando cacharros tecnológicos y ordenadores que no funcionaban. Desde pequeño jugaba a montar y desmontar electrodomésticos en la tienda de mi abuelo y cogí cierta habilidad con el tiempo. En mi ado- lescencia fueron los ordenadores, me apasionaba sus aplicaciones y comprender cómo funcionaban. Haciendo una similitud con mi trabajo actual en respuesta ante incidentes, hago algo parecido en una fase inicial: comprender como actúa el malware o por dónde se ha producido la intrusión, para realizar una mitigación y proponer contramedidas. P: En tu carrera profesional has tocado muchos campos especializados y con notable éxito, a juzgar por las opiniones de tus alumnos, compañeros y superiores.
¿Por dónde empezamos, desarrollo web, análisis de malware, thread hunting, respuesta a incidentes o informática forense y procesos judiciales? Cuéntanos un poco de cada aspecto. He tocado varias ramas de la informática que considero importantes, pero todavía me queda trabajo para estar a la altura de mis referentes. Por la parte del desarrollo de SW (software), trabajé en muchos proyectos de diferente en- vergadura y varios lenguajes de programación, por lo que no me da miedo enfrentarme a problemas que se presentan en el día a día y hacer pequeños desarrollos destinados a automatizar tareas. Esta experiencia fue fundamental para la valoración de software que hago a nivel judicial como perito informático.
La informática forense técnica a nivel judicial, cambió totalmente mi manera de enfrentarme a un desafío técnico, ya que posteriormente había que redactarlo para una persona sin muchos conocimientos en la materia y las conse- cuencias de ese informe podrían ser considerables. Después de 5 años de experiencia y tras decenas de casos sigo realizando y asesorando a peritos como Director del área forense de la asociación Stop Violencia de Género Digital @StopVGDigital.
Con el tiempo, fui buscando nuevos desafíos técnicos, el trabajo de análisis de malware y la respuesta ante incidentes podemos decir que los cubren sobradamente, la tipología de amenazas que te puedes encontrar es muy amplia y el tiempo de resolución tiene que ser muy corto. Con respecto al threat hunting, llevo pocos meses 11 4
trabajándolo pero esta rama tiene un gran potencial y lo veo como un trabajo de futuro.
115
P: Háblanos brevemente de tu trabajo actual, incluyendo el cibervoluntariado y tu labor en ONG´s. En mi trabajo actual es muy dinámico, mientras que no estamos dando servicio de respuesta ante incidentes, esta- mos preparando entornos o SW para ello para agilizarlo y mejorarlo. Adicionalmente también se realizan proyectos específicos de forense y threat hunting. Lo mejor que tenemos es el equipo de compañeros que hemos formado en nuestro departamento. Ser voluntario en las causas en las que estoy implicado es muy gratificante, enseñar o compartir conocimiento, lo disfruto aunque es sacrificado, al final son menos horas de sueño pero me va la marcha la verdad. Estos son los grupos a los que pertenezco: @StopVGDigital, #cibercooperante de Incibe y @cibervoluntario. Un nuevo proyecto en el que estoy involucrado junto a otros profesores con mucho prestigio, es un bootcamp de ciberseguridad en @immuneinstitute con una metodología de formación totalmente novedosa por su vertiente mer- amente práctica y que no había visto hasta el momento. Por otra parte, tengo el placer de colaborar con otros grupos del ámbito de la ciberseguridad en el que hacemos proyectos, charlas, eventos, ctf, artículos: @Hack4ensicTeam @hackplayers @hackmadrid @C43S4RS. P: ¿Qué consejos darías a los jóvenes que van aumentando sus conocimientos y se ven tentados de usarlos al margen de la legalidad? Siempre realizar pruebas de concepto en entornos propios y controlados, habitualmente expongo casos en los que la curiosidad lleva a cuantiosas penas legales para los infractores o tutores de los mismos. Esto lo suelo realizar en profundidad en charlas en colegios e institutos, no obstante, uso un disclaimer en las ponencias cuando se requiere. P: ¿Cuál es el campo profesional que más te apasiona en la actualidad? ¿Qué especialidad informática consideras con mayor proyección de futuro? La respuesta para las dos preguntas sería: threat hunting, trabajando desde una parte totalmente reactiva como es la respuesta ante incidentes, me seduce más la parte proactiva e investigativa que implica el threat hunting. Personal- mente quiero ser un profesional más completo y con este trabajo lo seria de forma proactiva y esto las empresas serias cada vez le dan más valor. P: ¿Qué trayectoria educativa y formativa puede llevar un estudiante que quiera seguir tus pasos? ¿Es necesario graduarse en la Universidad? ¿Un titulado de FP puede llegar a tu nivel? No hace falta Grado o FP pero a mi entender si es recomendable, hay gente que sin títulos son unos grande s profe- sionales. Cualquiera que sea curioso y tenaz, que con el tiempo logre tener una buena base en sistemas, desarrollo o redes, puede realizar su carrera profesional en ciberseguridad desarrollando sus puntos fuertes. Para mi la clave es: conocerse a uno mismo observando sus capacidades, formarse en lo que le apasione y se vea desenvuelto, tras probar varias disciplinas, para finalmente educarte en una rutina fuerte de trabajo. Es aconsejable probarse en diferentes pruebas técnicas como en ctf’s (entrenamiento en seguridad informática) y en certificaciones de ciberseguridad ya sean generalistas o de fabricantes. Hay multitud de plataformas gratuitas y eventos con ctf’s para probarse y aprender. Muchas veces me preguntan por las certificaciones, personalmente me han aportado conocimiento en ciertas áreas en las que me estaba iniciando y pienso que me 11 6
han dado mucho peso a la hora de negociar con una empresa mi salario.
117
P: ¿Cuál es el proyecto, análisis, incidente o caso forense/judicial que te ha resultado más desafiante en los últimos años? El más desafiante sin duda fue a nivel judicial, desgraciadamente todavía no se puede contar ya que se ha apelado por la contraparte. En respuesta ante incidentes, recuerdo el primer gran caso que tuvimos ya que era un servicio con un tercero que nunca se activaba pero un lunes a primera hora explotó. Obviamente no puedo dar detalles pero nos enfrentamos a un ransomware que no era muy conocido en esa la fecha, tras obtener los permisos pertinentes conseguimos detener la propagación, posteriormente se creó un software a medida para su futura detención en otras máquinas de la empresa. Para terminar, se identificó al paciente cero y el método de intrusión realizado, realizado el informe oportuno y recibiendo la felicitación del cliente. Lo destacable de este caso fue la rapidez con la que reaccionamos a una amenaza de la que no había mucha información, y cuando el cliente nos dejo actuar, como lo aislamos y desarrollamos una herramienta de detección en el mismo día. Un aspecto fundamental en la vida laboral, es rodearte de gente con un nivel similar o más nivel, para poder evolu- cionar y que evolucione el equipo. P: Muchos programadores están entusiasmados con el blockchain, por ejemplo ethereum, los smart contracts, la IA, el deep learning y las DApps ¿Qué opinas al respecto, se avecina la web 3.0? Avanzamos tan rápido que casi hemos dejando atrás la 3.0 y vamos a por la 4.0, según su definición. Al final, es otra evolución y por tanto, otro nicho de negocio. Al que le guste, se puede formar y el que se posicione más rápido, tendrá una ventaja con respecto a los otros. Lo bueno de la informática es que está en una evolución continua y aunque surjan nombres nuevos para cosas que ya existían, el conocimiento de base es lo importante. 11 8
P: ¿Cómo te imaginas el futuro de la Informática? ¿Y de la Ciberseguridad?
119
Gran pregunta de difícil respuesta, si nos centramos en la informática como instrumento global, tiene y tendrá una importancia vital para la sociedad y las personas. Por eso creo que se debería tener en el colegio una asignatura relacionada con la programación y otra más básica de educación en redes sociales. La ciberseguridad cobrará más importancia de la que tiene en la actualidad y será una de las profesiones más deman- dadas y espero que se adecúen los salarios al valor de los profesionales, veremos que nos depara el futuro… 1. https://www.blogger.com/null
Mártires. Hacking de bases de datos científicos 4. (2020-01-11 09:29) En el último artículo de la serie, acabamos comparando los sistemas de rastreo de información técnico-científica pre y post milennial. Habíamos navegado a través de las tormentosas aguas que bañan las costas de los servidores clandestinos rusos y holandeses, hacia los puertos más concurridos de la piratería científica global: LibGen y Sci-Hub. ¿Cómo se pueden describir estos lugares que no aparecen en las cartas naúticas y cuyas coordenadas cambian cada mes? Imagináos la serie "Black Sails" pero en plan geek. Ni sexo, ni violencia, ni lenguaje inadecuado; solo piratería de documentos pura y dura.
12 0
Esta descripción desalentaría al 95 % de la población y más si, como en mi caso, has sufrido las reformas educativas españolas. Para mí la literatura científica es como la mecánica cuántica, la entiendo a ratos si y a ratos no. ¿Cómo funciona Sci-Hub cuando introducimos la identificación de un documento buscado? En primer lugar, busca en LibGen (dado de baja por orden judicial americana en 2015) y, caso de no encontrar el artículo, ejecuta el script de Alexandra, que utilizará contraseñas de científicos simpatizantes del proyecto; para buscarlo en las BBDD de pago. Ya que hemos desembarcado, vamos a realizar alguna búsqueda, por ejemplo relativa a su creadora:
Lo que encontramos resulta más perturbador que Edward Snowden hablando de OVNIS y chemtrails. Un artículo de la revista Nature que posiciona a Elbakyan como una de las 10 personas más influyentes del 2016. Vamos a ver, una de las revistas que pertenecen al monopolio científico editorial, ensalzando a una pirata de docu- mentos. Lo dicho, en estas situaciones tan bizarras se dispara mi conspiranoia y ya dudo si realmente Snowden y Elbakyan son unos Robin Hood de la verdad y la ciencia o son esponsorizados por intereses ocultos. En cualquier caso ¿Qué opinaría el mártir hacktivista Aaron Swartz de estos portales?¿Se parecerán al proyecto que tenía en mente cuando se enredó en la aventura de hacking que tan mal acabó? 121
Vamos a recorrer un poco más la República Pirata. Alexandra se encontró con la barrera económica, que comenté en el anterior artículo, cuando desarrollaba una tesis sobre ¡autenticación biométrica mediante el pensamiento!
12 2
Ya no solo tendremos que preocuparnos de que hackeen nuestros hospitales, aparatos de diagnóstico y tratamiento, bombas portátiles de infusión de insulina, marcapasos... ¡lo siguiente será hackear nuestros propios cerebros! Me se de alguno que dirá: - Pues como entren en mi nothing box lo llevan claro. Es gratificante rodearse de personas que realmente se conocen. Pero para eso ya se ha planteado Alexandra y compañía colocar los electrodos en los sitios oportunos; y sin abrir el cráneo como pretende Elon Musk.
123
Al menos la expropiación de los estudios científicos nos permite intuir a qué atenernos en las próximas décadas. Y quién crea que mi mantra "[1]Westworld existe" constituye una exageración, que se deleite con estas grabaciones de pensamientos.
IFRAME: [2]https://www.youtube.com/embed/nsjDnYxJ0bo?feature=player _embedded Tranquilidad, en este [3]artículo aseguran que este tipo de autenticación será muy segura. Para cerrar el tema, concretar que la tesis de Elbakyan será una de las más caras del mundo (15 millones de $), que se abstendrá de pagar siempre que no pise Norteamérica ni ningún país que tenga tratado de extradición con ellos.
1. https://matescity.blogspot.com/search?q=westworld+existe 2. https://www.youtube.com/embed/nsjDnYxJ0bo?feature=player_embedded 3. https://www.fastcompany.com/90257174/the-future-of-passwords-your-brain
Luces y sombras del Big Data (2020-01-26 22:13) Como dice Pablo González, la tecnología es como un cuchillo; puede ser usada como arma letal o para cortar 12 4
comida y compartirla.
125
[1] Fuente
El Big Data puede utilizarse para el seguimiento de una pandemia como la del coronavirus de enero de 2020.
IFRAME: [2]https://www.youtube.com/embed/x _Q0oQW3fXU?feature=player _embedded También puede utilizarse como arma psicológica, en combinación con ataques cibernéticos y cinéticos. [3] 12 6
Esa es la táctica de los separatistas pro rusos en la guerra de Donbáss.
Los drones recogen información electromagnética de agrupaciones de soldados ucranianos, y realizan una especie de ataque man in the middle, en el que pueden enviar mensajes de textos terroríficos a soldados y familiares, interceptar drones enemigos y suplantar señales GPS.
En los casos más retorcidos, el soldado ucraniano recibe mensajes derrotistas; que parecen venir de desertores de su propio bando. A continuación, mensajes del enemigo solicitando la rendición so pena de recibir un ataque definitivo.
Los familiares son contactados, anunciando la muerte del soldado. Estos devuelven la llamada, en el momento en que se descarga un infernal ataque de artillería.
127
[4]
12 8
En otras ocasiones el ataque es menos agresivo: se informa a los soldados que el gobierno les ha retirado de la cuenta bancaria una cierta cantidad de dinero para colaborar con la Operación Antiterrorista. Incluso unidades de artillería ucranianas fueron localizadas y atacadas mediante una app pirateada que utilizaban los artilleros. Mencionar que este tipo de tácticas, en la citada guerra, no son privativas de un único frente combatiente. [5]
129
[6] Fuente de las imágenes
Frente a los horrores de la guerra, el siguiente uso inadecuado del Big Data puede parecer una travesura. No lo es en absoluto. Y la empresa responsable fue condenada a una fuerte multa para resarcir el derecho a la privacidad de sus usuarios. Para centrar un poco el tema, es interesante leer el marketing con que la empresa vendía sus productos:
La aplicación que crea intimidad, incluso cuando estás a kilómetros de distancia. Controla el vibrador de parejas número uno simplemente desde tu smartphone y obtén aún más funciones para tu We-Vibe con la aplicación. Enloquecerse unos a otros, sin importar dónde estén. Controla las vibraciones, ajusta la intensidad, todo con un solo toque de la pantalla. Utiliza la aplicación We-Connect para crear tus propias vibraciones individuales que se adapten a ti y a tus deseos. 13 0
Y lo mejor: con la aplicación We-Connect puede controlar sus productos We-Vibe desde cualquier lugar del mundo, ya sea en otra habitación, en otra ciudad o en el otro lado del mundo. De esta manera se crean momentos íntimos especiales, incluso cuando se está a kilómetros de distancia. [7]
Ahora tomamos conciencia de la sensibilidad de los datos recogidos por este aparato y por la app para móvil. La empresa vendía un vibrador, supuestamente para disfrutar en parejas que se encontraban alejadas. Realmente la pareja era un trío, donde inmensas inteligencias frías e implacables, miraban hacia la Tierra con ojos envidiosos, citando a H. G. Wells en "La guerra de los mundos". ¿Qué íntimos secretos recogieron estas inteligencias implacables ilegalmente? Solo podemos especular. Para desgracia de las frías inteligencias, un investigador en ciberseguridad descubrió el chiringuito y la firma tuvo que indemnizar a cada usuario de la app con 10000 euros y a cada comprador no registrado en ella con 200. En total unos 3 millones de nada, que seguro contribuirán a que las parejas víctimas puedan "mantener la llama encendida", juntos, en un buen hotel y sin necesidad de ayudas artificiales... y mirones envidiosos. 1. https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6 2. https://www.youtube.com/embed/x_Q0oQW3fXU?feature=player_embedded 3. https://upload.wikimedia.org/wikipedia/commons/b/b0/Blown_up_railway_bridge_in_Donbass.jpg 4. https://upload.wikimedia.org/wikipedia/commons/2/20/Lysychansk_16.jpg 5. https://upload.wikimedia.org/wikipedia/commons/thumb/5/5a/OSCE_SMM_monitoring_the_movement_of_heavy_weapon ry_in_eastern_Ukraine_(16731644405).jpg/1280px-OSCE_SM 6. https://es.wikipedia.org/wiki/Guerra_en_el_Donb C3 A1ss 7. https://theusbport.com/wp-content/uploads/2017/03/Standard-innovation-we-vibe-we-connect-app-696x464.jpg
131
2.2
February
Protocolos de Internet. FTP (2020-02-03 20:27) Unidad de datos Niveles Datos Aplicación. Servicios de red a aplicaciones. Protocolos: HTTP, HTTPS, DNS, POP3, SMTP, IMAP, FTP, DHCP, Datos Presentación Representación de los datos. Datos Sesión Comunicación entre dispositivos de red. Segmentos Transporte Conexión punto a punto y fiabilidad de los datos. Protocolos: UDP, TCP. Paquetes Red Determinación de ruta e IP. (Direccionamiento lógico) Protocolos de enrutamiento: RIP, BGP. Protocolos enrutables: IP v4 y v6. Datagramas Enlace de datos Direccionamiento físico. (Dirección MAC y LLC) Protocolos: CSMA/CD 13 2
Bits Físico Señal y transmisión binaria.
133
[1]
La tabla superior representa la torre OSI (Open System Interconnection) de la ISO (Organización Internacional de Estandarización).
Fue ideada en los 80, aunque no llegó a implementarse comercialmente. La torre que se estandarizó en la realidad informática, y que se utiliza en la actualidad, se denomina TCP/IP y es similar pero fusionando las tres capas superiores y las dos inferiores.
FTP o File Transfer Protocol, es el protocolo más utilizado en transferencia de datos pesados, aunque de forma bastante transparente. Resulta aún más veterano que la torre OSI y está muy optimizado para abordar su función. Por si solo adolece de falta de seguridad, pues la transmisión es "en claro", aunque nuevas implementaciones con protocolos seguros como SSH lo convierten en SFTP, Secure FTP.
Para los profesores que quieran disponer de varias páginas web accesibles en paralelo, dentro de un hosting, resultan recomendables unos conocimientos básicos para comprender ciertos aspectos de configuración y hardening. Habitualmente se utilizan los propios administradores de subida de los hostings o programas como Filezilla; si bien para practicar en nuestros FTP´s o en los de instituciones como Universidades, centros de investigación, etc. es muy didáctico trabajar desde el CMD.
Los hostings permiten a los usuarios acceder vía navegador, mientras que el administrador y los usuarios anónimos, si el servicio los permite, pueden acceder vía FTP.
13 4
Fig. 2.1 Visión del servidor FTP desde un navegador Web. Algunas carpetas albergan sitios web que arrancarían al acceder a ellas. 135
Fig. 2.2 La visión del administrador del mismo servidor. Desde aquí se puede editar, renombrar, borrar… —Lo que yo no entiendo, profe, es ¿ por qué se utiliza tanto si es tan inseguro ? —Paula, imagínate que le dejas un periódico gratuito a un compañero, ¿No te importa que todo el mundo pueda leer los titulares de la portada? —No, porque es una información pública que esta impresa en miles de periódicos iguales. —¡Exacto! Por lo tanto el peligro no es el protocolo, en nuestro ejemplo el papel impreso. El riesgo radica en la información que transporte. ¿Te daría igual que todos lo viesen si llevase en portada una pegatina bien grande con tu nombre, dirección y teléfono? —No es lo mismo, porque eso es información personal que no debe estar a la vista de todos. —Eso sucede con protocolos no seguros como FTP o Telnet. El problema no son los archivos públicos que descargues sino el momento en que te conectes con usuario y contraseña. —Entonces supongo que existirán medidas como el HTTPS para cifrar esa información confidencial. —Claro, de ahí surgen SSL, TLS, SSH, protocolos que hacen uso de la Criptografía para proteger la información. —Lo que sigo sin comprender es cómo vamos a viajar por todo el mundo de equipo en equipo si nos van a pedir usuario y contraseña en todas partes. 13 6
—Los servidores que vamos a utilizar tienen una parte pública donde se admiten invitados. —¿Pero eso es legal, o puede haber servidores FTP que no hayan desactivado esa característica por defecto como pasaba con la Null Session? —Muy buena pregunta, Paula. Es posible que en algunas ocasiones suceda lo que dices, pero, en ese caso, lo normal es que el servidor esté vacío y no podamos pasar de ahí. —¿Y si se pudiese pasar? —Si pudiésemos subir y ejecutar ciertos programas se podría escanear su red y otras redes remotas desde allí. En hacking eso se llama pivotar, conseguir acceso a otros equipos que confiarán en el equipo asaltado. La IP que se registraría en los logs de los servidores escaneados sería la del FTP inicial. —En ese caso, un blackhatque controle un FTP puede escanear mi equipo, encontrar un bug y lanzarme un exploit y nunca le pillarían porque esta operando con una IP falsificada. —Sí. Y lo primero que haría sería abrir un cliente FTP que le permitiera bajar toda su artillería pesada desde el servidor FTP zombi, para dominar totalmente tu red. Pero recuerda, Paula, que en Internet todo deja huella. —¡Es alucinante! Nunca habría imaginado que existían en Internet servidores que no albergasen páginas Web. —Sí, y no solo FTP, servidores DNS de nombres de dominio, de correo, proxy, de base de datos, cluster…¿Preparados para dar la vuelta al mundo en FTP? 1. g
https://axarnet.es/templates/yootheme/cache/principales-clientes-ftp-para-tu-servidor-axarnet-475cd9f8.jpe
Exposición Game On (2020-02-29 00:53) En las fechas de publicación de este post (finales de febrero de 2020) se está realizando una importante exposición de historia del videojuego en Madrid.
137
[1] El mundo del videojuego está muy relacionado con la evolución de la programación y, tangencialmente de la seguridad informática. No en vano los primeros juegos para Sinclair ZX-81 (con una RAM de 1 Kb, y cartuchos de expansión de 16 o 32 Kb), como 3D Monster Maze, se copiaban cinta a cinta con dos casetes, burlando así la propiedad intelectual.
Eran los albores de los años 80. Pronto las compañías de software introdujeron protecciones; y los miembros de la "escena" las crackearon. Fue el nacimiento del movimiento "warez".
La exposición comienza con unas máquinas de pinball.
13 8
Un teletipo de los 60 y unas cintas perforadas de los 70, nos meten realmente en harina.
Tras cruzar unos coloridos umbrales nos vemos rodeados de máquinas como las que se instalaban en los bares. De a cinco duros la jugada.
139
La expo es netamente interactiva. Podemos jugar a todo tipo de clásicos, desde el pong a space invaders, pasando por el comecocos o los más modernos simuladores y arcades.
La sección histórica de consolas, de todos los tamaños, no tiene desperdicio.
Atari cuenta con varios históricos representantes, como el 400 o el VCS.
14 0
En cuanto a ordenadores populares en nuestro país, el celebérrimo Sinclair ZX Spectrum con su miríada de periféricos y sus juegos situados en el Top Ten.
Quizás la sección más impactante sea la del diseño de videojuegos. Donde realmente se aprecia el ingente trabajo 141
oculto tras el lanzamiento de un juego. Resulta de tal interés esta sección que prefiero tratarlo en un próximos artículo. Entretanto recomiendo a los aficionados la visita y quizás también encuentren algún texto interesante o detalle en la tienda. 1. https://photos.wowroms.com/emulators-roms-logo/53/151001/420-420/3DMonsterMaze(NGS).jpg
2.3
April
Ciberseguridad en tiempos de pandemia. (2020-04-04 11:43)
Image: SonicWall
Los ciberdelincuentes no descansan nunca, pero en estas fechas oscuras están especialmente activos. Aprovechando la confusión, la incertidumbre y el sufrimiento de millones de personas, lanzan sin descanso sus cam- pañas de fraude y ataque. Se puede decir que este es realmente otro frente, paralelo al sanitario, donde los defensores pueden verse superados; y precisan nuestra ayuda. Adjunto enlaces a distintas campañas de concienciación que estoy realizando, según me llega información o mi propia familia se convierte en objetivo. 14 2
Especial atención a todos los teletrabajadores y al personal sanitario y de ONG´s. Ellos constituyen el target principal de el fraude de los proveedores, phishing y ramsomware. Todos responsables, todos héroes. [1] Estafa del proveedor [2] Phishing bancario a través de SMS [3]
Ataque a hospitales 1. https://www.linkedin.com/posts/felipe-colorado-lobo-2993895a_historias-reales-suplantaron-a-mi-proveedor-a ctivity-6651871836378279936-0myr 2. https://www.linkedin.com/posts/felipe-colorado-lobo-2993895a_ten-cuidado-con-el-sms-falso-del-n C3 BAmero697970686-activity-6651703619471069184-i_12 3. https://www.linkedin.com/posts/felipe-colorado-lobo-2993895a_campa C3 B1a-de-phishing-a-hospitales-aprovec hando-activity-6651409363665727488-KaUo
2.4
May
Westworld existe. La IA en tiempos de pandemia. (2020-05-02 12:27) 4/4/2004 Base militar española Al Andalus. Nayaf, Irak. […]
Las balas que no hallan blanco emiten un silbido ominoso que se degrada como el sonido de un diapasón. Los proyectiles que encuentran materia a su paso, se aplastan y deforman a veloci- dades increíbles. Estallan no solo físicamente, suenan con un tañido sordo, maligno y mortal. —¡Captain, Captain! Un capitán norteamericano se ha desplomado sobre el suelo de la azotea. Sus hombres intentan contener inútilmente la sangre. —¡Talk to me, captain! Los hombres parecen aplastarse más contra el suelo, mirándose con expresión preñada de dolor y malos presagios. […] 143
Crime Investigation. Zeroxword 2017. [1] Batalla de Nayaf
[2]
War on Terror Hoy sabemos que la guerra de Irak fue uno de los tentáculos de la War on Terror, tras los brutales atentados del 11 S, sustentada sobre unas supuestas armas de destrucción masiva que nunca existieron. La primera víctima de la guerra es la verdad, decía Esquilo hace 25 siglos. Y la primera víctima del terror es la libertad, sacrificada en el altar de una virtual seguridad. Un brazo robot que extiende hilos de vida como una moderna Parca. Dos personajes ingrávidos que extienden sus dedos, recordando La creación de Adán de Miguel Ángel. Pero nunca llegan a tocarse, el dedo se hunde en un mar de ondas líquidas que devuelven un reflejo distorsionado. Un diente de león acaba convertido en una todopoderosa IA de nombre bíblico. Y esa hipnótica música de pianola, tocada por unas manos sintéticas ¡de tendones rígidos! Un águila vuela hacia el sol y se quema como las alas de Ícaro. Así se desarrolla la apertura de la 14 4
serie de HBO Westworld.
145
IFRAME: [3]https://www.youtube.com/embed/lS _-jZHoSoc?feature=player _embedded Opiniones sobre Big Data e IA, a partir 1h. 13min. Habitualmente la ciencia ficción, esa rama literaria a menudo menospreciada, aprovecha los escenarios futuristas para lanzar sus saetas, envenenadas de crítica social. No pretendo comparar la serie Westworld con 1984, si bien opino que aporta su granito de arena de advertencia; en esto tiempos donde el terror a la pandemia corroe nuestra sociedad. La protagonista, Dolores, ha sufrido mil muertes, como atracción en un parque temático para ricachones. Digamos que en Westworld se buscan los más "violentos deleites". Después de todo, es un videojuego real donde los personajes no jugadores son meras máquinas que ni sienten ni padecen. Pero, cuidado, al igual que nosotros hemos dejado de leer libros, porque ahora son los libros los que nos leen a nosotros; en Westworld el negocio principal no es la millonaria entrada al parque, sino los datos biométricos de sus adinerados visitantes.
Dolores consigue liberarse, tras provocar una masacre, y se dirige al mundo real para cumplir su vendetta contra la especie que esclavizó a los suyos. En el mundo humano, los poderes en la sombra controlan el cotarro, gracias a la todopoderosa IA Roboam. 14 6
Mi escena favorita se da al final del tercer episodio de la tercera temporada, cuando Dolores consigue reclutar a Caleb, un traumatizado soldado que malvive entre los parias de la sociedad; porque Roboam ha decidido con sus algoritmos predictivos que acabará suicidándose.
En ese punto confluye el drama de los robots "esclavos de placer" y los humanos, que viven sus vidas en la ignorancia de un futuro predeterminado por una IA.
¿Nunca te has cuestionado la naturaleza de tu realidad?¿Realmente eres tú el dueño de tus decisiones?
Cuestiones que planean constantemente a lo largo de las temporadas de la serie, como los ecos del mito de la caverna platónico. Curiosamente, a medida que aumenta la carga metafísica y de crítica social; menos audiencia retiene. Quizás no nos guste enfrentarnos a esa imagen distorsionada, a esa sublime creación donde podemos hundirnos y desaparecer, con las alas en llamas.
El 11 S fue el origen de la pérdida de libertad, de unas guerras que solo respondían a intereses políticos y geoes tratégicos. ¿Qué nos deparará esta pandemia en tiempos de la IA? ¿Una pérdida de derechos fundamentales, una hipervigilancia del ciudadano, una nueva brecha social?
Necesitamos cuanto antes una [4]Roboética, una regulación legal de la IA, la robótica y el Big Data. El Parlamento Eu- ropeo y muchas otras instituciones internacionales están iniciando este proceso. Aprendamos los errores del pasado y no dejemos que el terror a la pandemia nos conduzca a un mundo distópico donde el ser humano sea compilado monitorizado y depurado; como una simple línea de código.
1. https://www.outono.net/elentir/2019/04/04/la-batalla-de-nayaf-4-4-4-las-imagenes-de-un-combate-cargado-devalor-espanol/ 2. https://upload.wikimedia.org/wikipedia/commons/thumb/b/be/War_on_Terror_montage1.png/1024px-War_on_Terror_ montage1.png 3. https://www.youtube.com/embed/lS_-jZHoSoc?feature=player_embedded 4. https://www.thinkingheads.com/tendencia-global/robotica-inteligencia-artificial-etica-debate/
Menores en la red (2020-05-12 15:08)
[1] 147
A principios de 2020 se publicó la esperada obra de una de nuestras autoras favoritas, [2]Silvia Barrera.
La obra se ocupa de un tema fundamental: los riegos de internet para los menores.
Una de las características del confinamiento, durante la pandemia de 2020, consiste en la educación online de los alumnos; de todos los niveles. 14 8
Conocemos que la ciberdelincuencia ha aumentado hasta un 600 % en este periodo y que los pedófilos saben que sus víctimas están conectadas practicamente todo el día.
¿A qué peligros se ven expuestos nuestros menores, muy a menudo por visitar lugares inapropiados?
Mobile Guardian nació como una herramienta de control parental, para convertirse en una plataforma de adminis- tración de dispositivos móviles (MDM). En este post vamos a comprobar sus puntos fuertes y débiles. Aplicado a un colectivo de estudiantes adolescentes, con dispositivos gestionados por su centro educativo. Comenzaremos el viaje desde lo más jocoso a lo más preocupante. Uno de los aspectos más divertidos de la herramienta consiste en el bloqueo por palabras clave. Los falsos positivos pueden resultar desternillantes. ¿Dónde ha entrado este alumno que se ha encontrado bloqueado por los términos desnudo, polvo y duro? ¿Alguna página hardcore? 149
¡Sorpresa! Una página bíblica con el texto de Génesis 3.
¿Y dónde intentó entrar este alumno que fue bloqueado por las palabras culos y bolas?
Simplemente en una página relativa a Calderón de la Barca. Al parecer, en la web se incluían los términos parábolas y versículos. 15 0
Avancemos hacia temas más accidentados. Un alumno se quedó dormido por ver videos hasta altas horas y el aparato acabó en el suelo, bastante perjudicado. Podría ser un caso similar a este:
151
YouTube para música y video, redes sociales, los videojuegos online, las películas y series; se llevan la mayor parte de los bloqueos de Mobile Guardian.
15 2
Personalmente me preocupan más los portales de venta de artículos...
...Y sobre todo los sitios de juegos online, donde los menores pueden coincidir con adultos que interactuen con ellos; como bien advierte Silvia Barrera en la página 200 de su obra. En una ocasión me encontré en uno de estos portales con un individuo que realizaba apología yihadista por el chat. 153
En el próximo artículo, hablaré sobre la configuración de los filtros de Mobile Guardian, lista negra, lista blanca... y comentaré los intentos de los alumnos por burlar todos estos controles y además obtener la máxima nota en los exámenes online; sin estudiar, of course. 1. https://www.casadellibro.com/libro-nuestros-hijos-en-la-red/9788417886028/11232412 2. https://twitter.com/sbarrera0?ref_src=twsrc 5Egoogle 7Ctwcamp 5Eserp 7Ctwgr 5Eauthor
Menores en la red 2. Ciberseguridad y tele docencia. (2020-05-23 22:53)
15 4
Felipe Colorado para X Buenos días. ¿Qué tal todo? Tengo una duda de seguridad. Si yo abro un Meet y salgo el último, ¿los alumnos podrían volver a entrar con el enlace inicial que les facilité o queda ya cerrado para ellos?
Un abrazo,
Hola Felipe:
Antes había muchos problemas sobre eso.
Para evitar lo que dices, habilita el meet en tu Classroom y de esa manera no podrán entrar antes o después si no estás tú.
Si lo haces desde calendario... pero ahora hay problemas y estoy con Google solucionando y viendo el problema porque no deja a partir del fin de semana pasado. O he tocado algo... pero revisando con ellos me han dicho que está bien... o... actualizaciones que se están haciendo.
Si lo haces creando el meet... a mano... e invitando... ten cuidado... porque creo que sí... pueden volver a entrar... por eso con los últimos cambios... no sé si ya solucionado.
Lo mejor... desde classroom… sin problemas, está ya controlado. O debería... hasta que encontremos algún fallo... :-)
Un abrazo 155
Att.: Profes Grupo Y. Seguridad en videoconferencias y documentos compartidos.
Estimados compañeros:
Se han detectado intentos de burlar la seguridad del CB (Chromebook) y acciones de ingeniería social para conseguir cosas actualmente no permitidas.
Comentando con Z y X, os expongo algunos ejemplos.
- Grupos de trabajo que piden que el profesor les inicie una videollamada.
Respuesta: En horario lectivo, Meet supervisado por el profesor desde Classroom.
- Documentos compartidos: Otorgando los máximos permisos al profesor para poder visualizar el historial de cambios del documento.
El hecho de programar los Meet desde Classroom, al parecer, evita que queden enlaces residuales que puedan ser reutilizados por los alumnos sin control.
Poder editar documentos compartidos, permitiría verificar "bromitas", "apelativos cariñosos" y otros temas que ya se han visto en Hangouts. 15 6
Por supuesto, los alumnos disponen de sus dispositivos personales para usarlos como les parezca bien a sus familias (Whatsapp, Insta...); si precisan usar otras herramientas bloqueadas, por su seguridad, en CB.
Perdón por el rollo y tengan cuidado ahí fuera, que los muchachos hilan muy fino. Saludos cordiales. Como vemos, la ciberseguridad en la docencia on line no es tema baladí. Hay que resaltar que los hábitos de navegación y uso de herramientas informáticas no suelen ser tan peligrosos como cabría pensar. No obstante, no dejan de ser adolescentes, con una admirable tendencia al pensamiento lateral y "out of the box". Los más aguerridos intentan rootear el CB como si fuese un smartphone, con los consiguientes bloqueos y necesidad de reinstalación de todo el sistema operativo. Objetivo: Poder conectarse fuera del horario de 8 a 24 h. Fijado por los administradores del dispositivo, tras los abusos comentados en el post anterior. También para poder acceder a sitios bloqueados por la lista negra de Mobile Guardian. [1] 157
En las imágenes podemos ver las posibles categorías elegibles en la lista negra, para que la app bloquee todos los contenidos seleccionados por los administradores.
15 8
La lista blanca permite autorizar contenidos concretos, prohibidos por una determinada categoría seleccionada en la lista negra.
Por ejemplo, si se bloquea You Tube para evitar visualizar videos musicales, de juegos, series o contenidos inadecua- dos; se puede autorizar un video seleccionado por un profesor para entender el teorema de Pitágoras.
Un intento de burlar la seguridad sin rootear podría ser instalarse un VPN para conectar por una IP distinta... [2]
...El saber no ocupa lugar.
Este bloqueo parece un falso positivo. El alumno estaba investigando sobre probabilidad... [3] 159
...Lo dicho. ¡Viva el pensamiento lateral!
Y si todo falla, siempre queda el socorrido recurso de la ingeniería social:
16 0
Hola Felipe, buenos dias Te escribia este correo para decirte que mi chromebook va muy mal, muchas de las veces estoy haciendo trabajos deberes o algo y no me deja acceder, ayer por ejemplo me salía eso y no puedo hacer las cosas. A.
Gracias, A. He informado a Z del problema. Saludos. 161
Hola de nuevo A: Me comenta Z que ya ha hablado contigo respecto a estos bloqueos que se producen a partir de medianoche. Ya te ha informado que el horario de uso del CB se ha establecido de 8 a 24h. Si tienes algún problema en esta franja horaria, nos lo puedes comunicar. Saludos cordiales. Si, he hablado con él.GRACIAS!
1.
http://3.bp.blogspot.com/-pyoCQnr9Hiw/XsmA8s_J0GI/AAAAAAAACwo/Z47-hF_z40gmdU3OYU9Cmg-yTWaOdKbKwCK4BGAYYCw
/s1600/Filtros.jpg 2. http://3.bp.blogspot.com/-gwV7uxGzxTo/XsmBLjrdwXI/AAAAAAAACw4/tKosJdU94SsNEUo8QznzhK66Wlf_ImSzgCK4BGAYYCw /s1600/11.jpg 3.
http://3.bp.blogspot.com/-IiE11QsaWhc/XsmBbtoJs5I/AAAAAAAACxU/BLcWjSlKgGMTa3rC8WAYPaUNDKIDlbsNACK4BGAYYCw
/s1600/18.jpg
2.5
June
Epidemiología. Estadística. Encriptación. (2020-06-14 15:28) [1]
Estación de Atocha, Madrid. Calles extrañamente vacías. Nudos de transporte urbano absurdamente infrautilizados. Personas que se miran de reojo por encima de sus mascarillas y guardan las distancias. Londres, 1854. El barrio del Soho es asolado por una virulenta epidemia de cólera que ha provocado alrededor de setecientas víctimas en apenas una semana. 16 2
El doctor John Snow tiene su consultorio en la zona y conocía personalmente a algunos de los fallecidos. En una época donde se ignoraba la forma de transmisión de la enfermedad, Snow compró un mapa y se lanzó a un peligroso trabajo de campo; que le llevaría a convertirse en el padre de la epidemiología.
18/1/2020, Hospital Universitario de Torrejón de Ardoz
Un correo electrónico con información sobre el coronavirus, un nuevo virus que ha provocado cientos de muertos en Wuhan, contiene un fichero adjunto que promete ampliar información. Su nombre : ‘CORONAVIRUS _COVID19.vbs’. El remitente es de confianza. y el adjunto es abierto.
[2]
El esforzado profesional no puede saberlo, pero acaba de abrir la puerta de su red al ramsomware Netwalker.
[3] 163
3/6/2020. El Ministerio de Sanidad publica la segunda ronda de su estudio de seroprevalencia a nivel nacional. La investigación trata de contestar a la pregunta de qué porcentaje de la población española ha generado anticuerpos frente al virus. Para dicho estudio se ha contado con la participación de unas sesenta mil personas. Aquí, el interrogante que siempre surge en las clases de Estadística ¿Puede una muestra del 0.12 % de la población extrapolarse a todos los ciudadanos españoles? [4]
Estudio Enecovid segunda ronda
El doctor Snow recorrió las calles del Soho londinense, marcando la residencia de las víctimas de cólera. Realizo numerosas entrevistas y se ayudó de la lista de ingresos en el cercano hospital de Middlesex. [5]
El mapa del doctor Snow
Finalmente determinó que la causa de la epidemia residía en una bomba de agua de la que habían bebido todas las víctimas. Al parecer el suministro de agua potable se había contaminado por filtraciones de aguas fecales procedentes de una alcantarilla. [6] Una réplica de la bomba, muy cerca de su instalación original. Monumento a John Snow.
[7]Historia de la humanidad. John Snow En Torrejón, los profesionales sanitarios se enfrentaban a un caos en su red informática. Netwalker se había adueñado de sus ficheros, los había encriptado (cifrado) y pedía un rescate económico a cambio de la llave para descodificarlos. Los doctores tuvieron que volver de la noche a la mañana de los cómodos informes digitales a escribir en papel, incluso recuperar el obsoleto papel de calco para tener copias. 16 4
La dura labor de los profesionales de TI consiguió recuperar un 10 % de los equipos, gracias a disponer de copias de respaldo no infectadas por Netwalker.
165
Analíticas, radiografías y otras pruebas debían ser solicitadas mediante circulares, trasnportadas por personas.
[8]
Las máquimas de cirugía y asistenciales no están conectadas a internet, pero sí los equipos de visualización y los de recogida de constantes vitales.
Sin citación por SMS, sin acceso a historiales clínicos e informes preoperatorios...
Por suerte, el sistema se pudo recuperar antes de la avalancha de paciente afectados por Covid.
La pirámide de población es técnicamente un histograma horizontal que divide a los habitantes de un determinado territorio por género y por edades. Su confección requiere un importante trabajo de los institutos de Estadística, apoyado en el big data del censo.
Esta representación es bien conocida por los estudiantes de secundaria y en especial por los futuros bachilleres en Ciencias Sociales.
Si logramos que la muestra de 60000 personas sea representativa de toda la población; los datos tendrán un alto grado de fiabilidad y serán extrapolables a todo el país. 16 6
¿Tan fiables como las encuestas de intención de voto? A menudo estos estudios se realizan con un mínimo de 2500 personas, en este caso solo sobre mayores de 18 años; que son los que pueden ejercer este derecho. ¿Por qué los resultados a veces son tas dispares o no acaban reflejando la realidad? El hecho de tener o no anticuerpos es un hecho binario y objetivo. O sí o no. La intención de voto puede cambiar a lo largo de la campaña electoral, o puede haber un porcentaje de voluntarios encuestados que falseen su verdadera intención. Aquí quizás resulte mucho más fiable la estadística privada de las redes sociales que la realizada por medios de comunicación u organismos oficiales. 1. https://1.bp.blogspot.com/-5p-ZdEqkEqs/XuUfJ2iuE1I/AAAAAAAACzo/GYAakPG2tIw4seB98ff70pDwDZRguf4wgCK4BGAsYHg /s3552/Atocha 2BLR 2BPano_P.jpg 2. https://1.bp.blogspot.com/-BzginJwnLLY/XuUrDwN8DYI/AAAAAAAAC0I/WiHCGqCfvbkx1A2busK47VmelhWcKqSCACK4BGAsYHg /s1537/Netwalker 2B1.jpg 3. https://1.bp.blogspot.com/-PhWs6Un22dQ/XuUrSJdYYJI/AAAAAAAAC0U/e84ABNmlPIAKD27bqWbb64Ni0dPgldQYACK4BGAsYHg /s1918/Netwalker 2B2.jpg
167
4. https://www.mscbs.gob.es/ciudadanos/ene-covid/docs/ESTUDIO_ENE-COVID19_SEGUNDA_RONDA_INFORME_PRELIMINAR.pd f 5. https://lh3.googleusercontent.com/proxy/2C13lRungPulm76hW-SqUGavm6LA9RciMRBcjQfQOtIif7UZYm0P6smPoNlikBNpey dn51dEtv4gIibpIfBWkNQyPGbfy_CZRgm1qx3o2S05ByoXXptqDdTJ 6. https://lh3.googleusercontent.com/proxy/7nGpCcMwTuN9Qkg0R6rzozVXLxKsooUsuRiuFm-_gNqbuR5OkdW5Iqz9RFoh_iN70U FXC_rI6myKObLvTTQ6hE9IaTO59WZKuhF7SjBGG2vHhvCcbNDzJ309 7. https://www.dailymotion.com/video/xxc8wa 8. https://lh3.googleusercontent.com/proxy/jF34unwZ_7-vGbCIgKkqIJ1cKzGFkXA1FKcGxIMsUOOVeE_rKr5n61f51pyD78AWyi nhhnibVwpCBJi0rmtFln_2WQob_qHbgLgXqGG8BxjvMZ5wM9bVR4p2
C1b3rWall Academy 2020 - OSINT (2020-06-22 22:23)
[1]
En junio de 2020 se ha inaugurado el C1b3rWall Academy. A diferencia del evento del año anterior, que se desarrolló de forma presencial en la Academia de Policía de Ávila, en esta ocasión se realiza online en formato MOOC, abierto a cualquier participante y con decenas de miles de alumnos registrados.
16 8
[2]
Buscando todos los correos comprometidos de un dominio en un portal de Tor
La primera ponencia trata sobre el atractivo tema del OSINT, la búsqueda de información mediante fuentes abiertas, desarrollada por el especialista [3]Eduardo Sánchez.
Voy a empezar por las partes que más me han impactado de la conferencia. Comentando sobre el uso de Shodan en OSINT, debemos ponernos en el lugar de un agente de las fuerzas y cuerpos de seguridad en lucha contra el crimen organizado o terroristas.
Supongamos que, rastreando a los malos o trabajando como agente encubierto, vamos a utilizar Shodan para conseguir info de nuestro objetivo. Quizás intuimos que nuestro sospechoso ha abierto un escritorio remoto durante el confinamiento... [4] 155
...Al igual que otros treinta y siete mil españoles...
[5] 5
...Es posible que descubramos el nombre del administrador y otros datos de interés... Pero paremos un minuto; Shodan requiere registro para utilizar filtros y búsquedas avanzadas. ¿Vamos a registrarnos con nuestro e mail de @policia.es?
Por supuesto que no, en nuestras investigaciones debemos cortar cualquier lazo que nos vincule con nuestra identidad real. No queremos que los mafiosos internacionales ni los terroristas nos identifiquen y nos hagan una visita. Fácil solución: Creamos un correo desechable y nos registramos en todos los buscadores y portales OSINT que precisemos. Problema: Shodan reconoce el correo fake y nos echa a patadas. Y aquí llegá la genialidad de Eduardo Sánchez. Utiliza el motor de búsqueda de Shodan para localizar el servidor de correo desechable, y utiliza ese dato en el registro; burlando la seguridad de Shodan con sus propias herramientas. Introduce también un par de buscadores interesantes que desconocía. Carrot 2 que entrega resultados clusterizados en formato carpeta o [6] 157
gráfico...
7
[7] [8]
[8] 157
...Interesante para buscar información personal, aunque por lo que he podido comprobar se basa mucho en el buscador Bing. Otro bloque temático estaba dedicado a los buscadores de dominios tipo whois, domaintools, dominios.es... comple- mentados con archivos de lineas temporales como archive, cachedview y la propia caché de Google; para recuperar datos antiguos de servidores web como direcciones de correo...
[9]
...Y para éste cometido una joyita como hunter, capaz de extraer correos de un dominio dado, mostrando las fuentes de procedencia...
[10] 159
...Conseguido un correo, se puede investigar si ha aparecido en algún leak, bien en portales tipo haveibeepwned...
[11] 11
...O directamente en el socorrido Pastebin, donde podemos encontrar leaks con 267 millones de cuentas de Facebook...
[12] 161
...O números de teléfonos de famosos.
[13] 13
[14]
También se mencionó al veterano buscador Robtex y sus excelentes cualidades para el footprinting.
164
El final fue espectacular, con la explicación del uso de enlaces acortados y el seguimiento mediante balizas digitales, capaces de asignar una huella rastreable, por ejemplo en un foro de delincuentes de Telegram.
[16]
[15] 163
1. https://lh5.googleusercontent.com/proxy/HVlFQPip5qfzXueFqPrWtHqrmgmxztBGGx8-ZK2dCD5L8rYT_iNQOGTXokl-Hf9ZMp raQHtNNVfQ7Sb_wwhQ_r-ELUXF6wnKQUtkgBfHjsrSmNy2iGkSQZv8 2. https://1.bp.blogspot.com/-slUPEECfxNE/XvD7RwUxUgI/AAAAAAAAC2Q/12okE2yokOU3YilCrUr_sof7xi53dtINACK4BGAsYHg /s1343/pwndb 2Bonion.jpg 3. https://twitter.com/edusatoe?lang=es 4. https://1.bp.blogspot.com/-HP8S9hpApOM/XvD7oOOQSiI/AAAAAAAAC2k/m3xeN6L8shsNYx5nqxSxUlbnGk7x6PttQCK4BGAsYHg /s904/shodan 2Bescritorios 2Bremotos 2Ben 2BE 5. https://1.bp.blogspot.com/-SjpFrKLCpIc/XvD7ui37d0I/AAAAAAAAC2w/ciAYPibw370znrCL5LoPZowM445sDo9CgCK4BGAsYHg /s1343/Shodan 2Bescritorio 2Bremoto.jpg 6. https://1.bp.blogspot.com/-f-PCB9aiIIU/XvD8gQTracI/AAAAAAAAC3I/iqY8j8Wu0F004bwUHpT_M_V0WQxzZyqPgCK4BGAsYHg /s1874/carrot 2B2.jpg 7. https://lh6.googleusercontent.com/proxy/cKBepXyX8m5BP4yUEnDMaZSH1E7EgI3x-nDKk6wec3aeba_WzYbMOtztzY8VBrdj42 Wm2FRGqnpyrEvX_O3EesHO7i4vkS0Wt1MoVyfctF5EfaNcAdrqheQM 8. https://1.bp.blogspot.com/-eOi5JO7XC80/XvD8lR4PPwI/AAAAAAAAC3U/MbH0TtfpcmoYaAuHhp7SfeOPyBYuS4QdACK4BGAsYHg /s746/carrot 2B2 2Bc 25C3 25ADrculos.jpg 9. https://1.bp.blogspot.com/-QGGzHbxn8ec/XvD8uVsVc5I/AAAAAAAAC3o/TZb1_RsY32I1oL4tQuRvu9g8qk_qVP2gQCK4BGAsYHg /s1099/Informaci 25C3 25B3n 2BWhois.jpg 10. https://1.bp.blogspot.com/-2y_6XI8W4IM/XvD80-KeEiI/AAAAAAAAC38/0OS97eVauU088BdODW8oYk4dEXyV4KqXACK4BGAsY Hg/s1252/hunter.jpg 11. https://1.bp.blogspot.com/-zxDHckgSoO0/XvD9FKSfa6I/AAAAAAAAC4Y/2_PVnYVTfTQ70pbEKoFaX0U yqwlaZygCK4BGAsY Hg/s1052/leaks 2Bde 2Bcorreos.jpg 12. https://1.bp.blogspot.com/-ReRAZSAMtEc/XvD9BR9yNYI/AAAAAAAAC4I/HJjWOgpS7-U5Qx-Rytq3RaqRzsbmZiWeACK4BGAsY Hg/s1278/cuentas 2Bfacebook 2Bpastebin.jpg 13. https://1.bp.blogspot.com/-2y_6XI8W4IM/XvD80-KeEiI/AAAAAAAAC38/0OS97eVauU088BdODW8oYk4dEXyV4KqXACK4BGAsY Hg/s1252/hunter.jpg 14. https://1.bp.blogspot.com/-0ZfcR8b64Cc/XvD9RlH7-XI/AAAAAAAAC4o/rBx03md6OnEK9E74fHc0p-v3qLKcvbPWACK4BGAsY Hg/s793/Pastebin 2Bn 25C3 25BAmeros 2Bde 2Bfamosos.jpg 15. https://1.bp.blogspot.com/-iebPDoHDZ7k/XvD9ea_a4VI/AAAAAAAAC48/WoJDda31qhA6bFiaV8YeAuWv8r8FuQnDwCK4BGAsY Hg/s1854/robtex.jpg 16. https://1.bp.blogspot.com/-c4x7HPzvTvc/XvD9h4yUllI/AAAAAAAAC5I/guhguk-_ZUclRfrpJ0xRdikuN5ywagG-gCK4BGAsY Hg/s1535/balizas 2Bdigitales.jpg
C1b3rWall Academy 2020 - Aprendiendo Hacking con CTF (2020-06-24 18:05)
¿Sabes tanta informática forense como un alumno de secundaria?
[1] 165
En posts anteriores hablamos de la apasionante charla práctica de [2]Eduardo Sánchez sobre OSINT. El mismo ponente nos invita al desafiante munto de los CTF (Capture The Flag = captura la bandera). Juegos y retos de hacking, criptografía, informática forense... donde los participantes se enfrentan entre ellos y a sí mismos; para superar las dificultades y triunfar. He realizado muchos MOOC‘s, pero recuerdo con especial cariño el Curso de [3]Hacking Ético de la Universidad de Mondragón. [4] Ya comenté en su día cómo los "supervivientes" nos agrupamos en equipos de ocho personas, se nos asignó un servidor Debian real y tuvimos una semana para securizarlo a tope. Y otra semana para intentar capturar las banderas de los demás equipos. Fue una lucha sin cuartel a base de asaltos a FTP´s, inyección, troyanos y backdoors, defacement... y todo lo que nuestras mentes calenturientas pudieron maquinar. Eduardo comenta el uso del motor [5]Mellivora del cual he encontrado una info del 2013 [6]aquí. Éste motor se utilizó, por ejemplo, para implementar un reto CTF en la [7]Tomatina. Para una organización de un evento potente las citadas herramientas son muy socorridas. Para retos ya prediseñados, Eduardo recomienda: [8] root-me o [9]hack the box.
¿Pero que sucede si queremos disponer de unos retos asequibles a alumnos de ESO o FP? ¿Qué sucede si nuestros equipos están congelados y no podemos instalar programas, o el firewall impide determinadas acciones, o directa- mente las herrramientas comentadas superan nuestros conocimientos y limitación temporal? En los últimos años he desarrollado wargames criptográficos, búsqueda de documentos en Ftp´s públicos, retos de hacking con inyección SQL en servidores reales o pruebas de informática forense; sin necesidad de instalar Autopsy o similares. ¿Soy un genio? En absoluto. Lo único que he hecho es utilizar materiales de cursos que he realizado o trabajos de los "grandes" como [10]Flu-Project del amigo [11]Pablo González. 166
[12]
Actualmente no mantengo activo el reto criptográfico, que requiere varias páginas webs con contraseñas, unidas entre sí mediante una narrativa de corte policiaco (ya comentaré el asequible método de programación web en próximos artículos). Es necesario tener un hosting y éste se desactiva si no tiene entradas frecuentes. El reto Jedi, cuya imagen encabeza el artículo, le propuse en clase y tuvo mucha aceptación. Culminaba con una inyección SQL a un servidor de practicas de la Universidad de Mondragón en el que estaba instalado DVWA (Damm Vulnerable Web Application). Allí se obtenía la contraseña que abría los planos de la Estrella de la Muerte. Lo que si tengo activo a fecha de publicación son los retos forenses. Uno basado en el excelente material de Flu Project y otro de un MOOC de Informática forense y Ciberderecho de la Universidad de Extremadura.
[13] Enlace - Retos forenses
Lo único que tuve que hacer fue sacar los ficheros del disco duro virtual y colgarlos en una carpeta compartida de GDrive; con alguna pequeña aportación personal para marear aún más la perdiz ;D
Se puede buscar por las distintas carpetas sin necesidad de software forense; aunque algunos formatos pueden dar problemas de apertura en Android y conviene guiar el reto con un dispositivo de apoyo. Es un recurso muy agradecido en las pequeñas actividades que organizo en la Semana de la Ciencia o en jornadas de Puertas Abiertas de mi centro. Por supuesto éste y otros materiales de la página están a vuestra disposición. Y si os apasiona el mundo de la Informática Forense no podéis perderos este Webinar, dónde se enumeran los ele- mentos imprescindibles del maletín del perito, se resalta la importancia de la cadena de custodia y se dan 167
consejos para realizar las pericias de forma impecable.
168
IFRAME: [14]https://www.youtube.com/embed/lpKMgDgL3b0 1. https://1.bp.blogspot.com/-JRlPXioOb2Q/XvMo7kqQzHI/AAAAAAAAC60/6Wcyx9OO9l4T2mv5-lSiaRPnplKrdZpgACK4BGAsYHg /s1875/Reto 2BJedi.jpg 2. https://twitter.com/eduSatoe?ref_src=twsrc 5Egoogle 7Ctwcamp 5Eserp 7Ctwgr 5Eauthor 3. https://hefcol.blogspot.com/2016/09/ 4. https://lh3.googleusercontent.com/proxy/i0_XPZnt2ppBhcANJzsYPpxNWKvLD0OTQOJ8C_VYdEvj3hQE7W3OAx280inMssOP5y tkVbaiOO_TuYBwKi-kS9Vz7aRCR64pUSWcKyaLqCuc14mChTMqY737 5. https://github.com/Nakiami/mellivora 6. https://www.hackplayers.com/2013/10/crea-tu-propio-ctf-con-mellivora.html 7. http://tomatinacon.com/?page_id=737 8. https://www.root-me.org/?lang=es 9. https://www.hackthebox.eu/ 10. https://www.flu-project.com/ 11. https://twitter.com/pablogonzalezpe?ref_src=twsrc 5Egoogle 7Ctwcamp 5Eserp 7Ctwgr 5Eauthor 12. https://1.bp.blogspot.com/-e6B6_TI5Egc/XvMy9pMHpLI/AAAAAAAAC7Q/OaZiWPslWb0AP9Y1hArJfQ3vTXI4sX6kACK4BGAsY Hg/s1877/Retos 2Bforenses.jpg 13. https://fcoloradolobo.wixsite.com/city/mathack 14. https://www.youtube.com/embed/lpKMgDgL3b0
C1b3rWall 2020 - Apuntes: Ataques Ddos - Metaesploit - Rastreo phisher. (2020-06-28 11:50) Continuando en la línea de reseñar los temas que me parecen más relevantes en las ponencias del excelente MOOC C1b3rWall Academy 2020, en este post voy a comentar sobre los ataques de Denegación de Servicio Distribuido (DDoS), sobre el archifamoso Metasploit y el interesante rastreo de un phisher con OSINT. Lo importante de la ciberseguridad, el hacking ético o la informática forense no consiste en manejar con soltura el software que existe en la actualidad. Lo fundamental es dominar los conceptos y procedimientos que permitan comprender cualquier distribución o programa, que sustituya en un futuro a los existentes. 169
Una herramienta que comentan los ponentes es Logstalgia, se trata de un visualizador gráfico en modo retro pong de las conexiones realizadas a un servidor. Debemos disponer de los logs de acceso del servidor, con los cuales alimentaremos el software.
IFRAME: [1]https://www.youtube.com/embed/HeWfkPeDQbY
Afirman los expertos que un ataque DDoS bien diseñado es como una sinfonía perfectamente orquestada o como un asalto medieval a una fortaleza, donde los recursos se van desplazando de unos lugares a otros para confundir y saturar a los defensores.
En la parte final del video la sinfonía añadía cada vez más instrumentos. ¿Cómo se vería un ataque real? 170
IFRAME: [2]https://www.youtube.com/embed/ffxU _wH8kFs A mi me recuerda la batalla del abismo de Helm, el asalto a París en Vikings o el bombardeo de Jerusalén en El reino de los cielos. Debemos considerar que un ataque DDoS exitoso se lanza contra todas las capas posibles del modelo OSI. La física quedará salvaguardada en ataques remotos, pero la de enlace de datos, red, transporte, presentación y aplicación permanecerán como objetivos. Puede comenzar con una inundación en un protocolo de capa inferior, con un aumento progesivo de tráfico tras breves pausas. O bien puede parecer un ataque de reflexión. Un servidor de comando y control mandando órdenes hasta a millones de bots agresores; actuando sin el conocimiento de los dueños de esos equipos. Esa primera ola puede continuar con ataques de amplificación contra protocolos "ruidosos", que responden con múlti- ples paquetes ante peticiones malformadas con IP´s falsificadas. Redirigiendo todo ese tráfico (respuestas, intentos de correción de errores...) contra la víctima. Incluso se pueden utilizar los servidores DNS legítimos para dirigir maliciosamente un ataque de amplificación. Respecto al movimiento a través de la torre del modelo OSI, se puede comenzar contra el nivel de aplicación, simulando tráfico legítimo que acabe colapsando todo el ancho de banda. Pero cuando el defensor concentre sus recursos en esa zona, el ataque intentará abrir brecha en otro punto, en una agresión cambiante, en oleadas, en la que, o bien el asaltante deberá retirarse sin éxito o bien el servidor caerá, quedando sin acceso. [3]
Visualización de logs con Logstalgia.
Cuando estudiaba OrCad, a mediados de los noventa, estaba de moda titular los libros técnicos de esta forma: "Domine OrCad al 99 %" El siguiente video, que grabé como aproximación divulgativa al pentesting, podría titularse "Domine Metasploit al 1 %". 171
[4]Video
Al igual que en muchas conferencias, lo más impactante son los PoC´s o las aplicaciones prácticas de lo mostrado en el laboratorio. [5] Un tema que me pareció muy interesante fue narrado por [6]Eduardo Sánchez: El [7]rastreo de un phisher bancario español, utilizando técnicas OSINT. 1. https://www.youtube.com/embed/HeWfkPeDQbY 2. https://www.youtube.com/embed/ffxU_wH8kFs 3. https://www.elarraydejota.com/visualizando-logs-de-acceso-de-frontales-web-como-una-partida-de-pong-conlogstalgia/ 4. https://drive.google.com/file/d/0B5-Y0-D_8ay3dEl0M1B2N2dyVTQ/view 5. https://lh6.googleusercontent.com/proxy/ogmLyPkPsIDY2zlxADARXhfdYJ8ho4CLT_veW_aRfJCPjoktKPqfnipo3Xew01ggkH O12OeGOXssdx9SmI3vvm4vuX7NRaSOKpWCt5EKjj75Pg5RkF5HX2A= 6. https://twitter.com/eduSatoe?ref_src=twsrc 5Egoogle 7Ctwcamp 5Eserp 7Ctwgr 5Eauthor 7. https://allpentesting.es/2020/04/19/analizando-phishing-bankinter/
2.6
July
C1b3rWall 2020 - Mis problemas con la diosa (Kali) 1 (2020-07-09 12:24) Este post cuenta mi odisea a lo largo de la resolución de los retos forenses del módulo 1 de C1b3rWall 2020. NO CONTIENE SPOILERS. [1]
Para situar brevemente mis dificultades, comentar que no montaba una máquina virtual desde hace unos años y, por supuesto, mis versiones de VMware Player y Virtual Box estaban obsoletas. 172
Como me daba pereza meterme en complicaciones, decidi echarle un ojo al interior del archivo raw del primer ejercicio mediante Autopsy win.
Cuando el programa empezó a extraer info del volcado de memoria, el antivirus se volvió loco y comenzó a lanzar infinidad de alertas de troyanos y ramsomware; inclusive ejecutando Autopsy dentro de Sandboxie.
[2]
Tras los pertinentes reinicios y escaneos, parecía que todo había sido un falso positivo. De hecho lo único que conseguí extraer fue una ristra de e-mails con nombres tan exóticos como Zbot, Trojan, etc... que quizás fuesen el origen del engorilamiento de Windows Defender. [3]
[4] 173
Defender se asustaba especialmente de una serie de archivos .dll; como sabemos reservorio y vector habitual de troyanos.
Meralifea era uno de los bellos especímenes supuestamente rastreados por el antivirus.
¡Qué chunga la poli! Te ponen un ejercicio y está lleno de trampas ;D 174
Pero la cuestión es que el Defender se quedaba tocado. ¡Ay, madre!
[5] 175
Mientras lidiaba con esos temas, me descargo Volatility para Win. Lo instalo, lo ejecuto y se abre y cierra una ventana tipo símbolo de sistema. Lo mismo que sucede con el historial del Defender. Tras muchas vueltas, ejecuto en Sandboxie y ya tengo el tiempo necesario para leer el mensaje de error. Le faltan parámetros. ¡Merde, tengo que ejecutarlo desde el CMD! Siguiendo los apuntes del curso, comienzo a sacar cositas, y soy invitado a un grupo de LinkedIn; de sesudos informáticos dándole caña a los retos. Me comentan que es interesante trabajar con Volatility de Kali. Parece que no tendré más remedio que retomar mis máquinas virtuales. Aquí comienza una nueva aventura donde, en comparación, todo lo anterior parece una camino de rosas. Pero mis problemas con la diosa (Kali) serán materia para un próximo artículo. [6]
176
[7]
1. https://1.bp.blogspot.com/-TDRr_E2u1-w/XwYSsLrLoPI/AAAAAAAAC-Y/vNuxIkc9d5oar8jJR-M3_7quP3R37pehgCLcBGAsYHQ /s1895/Diosa 2BKali.jpg 2. https://1.bp.blogspot.com/-h8QjoTiSFtc/Xwbn0gngEJI/AAAAAAAAC_w/au0cZnivJNcYqG_wqYBHgj1kbF8KqyaZwCK4BGAsYHg /s1903/Ramsonware.jpg 3. https://1.bp.blogspot.com/-h8QjoTiSFtc/Xwbn0gngEJI/AAAAAAAAC_w/au0cZnivJNcYqG_wqYBHgj1kbF8KqyaZwCK4BGAsYHg /s1903/Ramsonware.jpg 4. https://1.bp.blogspot.com/-Or3Ts4v-nEs/Xwbn1Q8m6AI/AAAAAAAAC_4/rmeMqBBjDvEYjqMR833NxzuaV3b0PtuAgCK4BGAsYHg /s875/Autopsy 2B1.jpg 5. https://1.bp.blogspot.com/-4tXAJoCZArA/Xwbn1KS3xdI/AAAAAAAAC_0/w4KzGegEHgIdLmyCdDYXK5RzfEXasfNEQCK4BGAsYHg /s919/Windows 2BDefender.jpg 6. https://1.bp.blogspot.com/-4tXAJoCZArA/Xwbn1KS3xdI/AAAAAAAAC_0/w4KzGegEHgIdLmyCdDYXK5RzfEXasfNEQCK4BGAsYHg /s919/Windows 2BDefender.jpg 7. https://1.bp.blogspot.com/-8TsenYVYZ-k/XwYTZ1c1m7I/AAAAAAAAC-w/U1UT6DcPo4Ep7cyniMeT0z0ezGxpsjIbQCLcBGAsYHQ /s1773/Kali 2B2.jpg
C1b3rWall 2020 - Mis problemas con la diosa (Kali) y 2 (2020-07-19 19:42) En el post anterior comenté los problemas que tuve por la ocurrencia de aplicar Autopsy win a los ficheros del reto. Luego me explayaré un poco sobre el tema. Al actualizar la Virtual Box a la última versión, dejaron de funcionar las máquinas guardadas, a causa de un problema de aceleración por hardware. Pensé que era debido a ser versiones de 32 bits. Me dispuse a descargar la última versión de Kali de 64 bits... N minutos descargando 3 Gb... ¿Dónde está el maldito calculador de hashes?... N minutos hallando el hash... El problema persistía. ¿Y si reinstalo la Kali de 32 bits que debe estar en algún ignoto lugar del disco duro?... Entretanto, mosqueo por los fallos del Windows Defender. ¿Me habré pillado un troyano de verdad? 177
Investigando un poco, me meto a configurar la UEFI para activar la aceleración por hardware. Al fin consigo levantar una de las máquinas de Kali y darle caña a Volatility, curiosamente el perfil da informaciones distintas a las de la versión de win. En paralelo con el trabajo de los compañeros del grupo de Linkedin, sigo investigando sobre mis "bichitos".
El supuesto [1]troyano en Any. Comentar que abrí un archivo de texto para hacer tiempo, como se puede ver en los procesos y en el análisis estático. Una de las preguntas del reto parece ser un problema de esteganografía, un texto inserto en una imagen sin formato, que hay que trabajar duramente en Gimp. Nuevos problemas de instalación y cuelgues en el Gimp... 178
Me pica la curiosidad de qué pasara si aplico Autopsy de Kali a los ejercicios.
Obtengo información muy interesante, coincidente con la de Volatility, para resolver una de las preguntas, gracias también a la ayuda del grupo de trabajo.
En esta ocasión no se vuelve loco el antivirus como en Win. 179
Finalmente consigo acercarme al reto del texto inserto en una imagen. La adjunto en baja resolución para no quitaros la diversión.
Y hasta aquí, por el momento, mis problemas con la diosa Kali y los retos del módulo 1 de C1b3rwall 2020. Por cierto, ¿alguien está interesado en adquirir un 0day? 180
[2]
181
[3]
1. https://app.any.run/tasks/794ee34f-2b74-49ee-9970-99d73b8e19cf/ 2. https://1.bp.blogspot.com/-lKLPRqXUPkA/XxSELfkalFI/AAAAAAAADEs/fBHy6PNUZTkG7YsSFHEavWLy1uX4WFT9QCLcBGAsYHQ /s1603/0day 2B2.jpg 3. https://1.bp.blogspot.com/-lKLPRqXUPkA/XxSELfkalFI/AAAAAAAADEs/fBHy6PNUZTkG7YsSFHEavWLy1uX4WFT9QCLcBGAsYHQ /s1603/0day 2B2.jpg
Imperios digitalizados. Big data para la Máquina del Tiempo. (2020-07-21 23:28) [1]
182
[2]Cervantes en Lepanto
[3]
[4]
Putsch de la Cervecería. 1923.
[5]Archivo fotográfico federal de Alemania
1571. Un joven Cervantes recibe dos disparos de arcabuz en el pecho y otro en la mano izquierda. Las secuelas le paralizarán la mano y será conocido por la posteridad como "el manco de Lepanto". Juan de Austria, hermano natural de Felipe II, se enfrenta al enemigo a mandoble limpio y es herido en un pie. El líder otomano, Alí Pachá, cae en combate; en medio de una batalla infernal entre dos imperios. 1923. Hitler, pistola en mano y amparado por cientos de SA, toma una cervecería y secuestra a importantes políticos. Horas más tarde marcha con sus seguidores, para dar un golpe de estado en Munich. 183
¿Qué tienen en común estos eventos históricos con la tecnología?
184
[6]
[7]Reseña
Uno de mis libros históricos favoritos es Agentes del Imperio, de [8]Noel Malcolm. Es alucinante como, a partir de datos históricos duramente rastreados en los Archivos Venecianos, consigue esbozar con maestría la microhistoria de un clan familiar albanés y enlazar con la macrohistoria; donde los personajes alcanzan un dramático protagonismo en sucesos como la batalla de Lepanto.
Cuando escribí una novela histórica, me basé principalmente en libros y páginas webs. Pero también utilicé [9]hemerotecas, [10]archivos fotográficos y cartográficos; españoles y alemanes.
[11] 185
[12]Imperios del mar ¿Qué obras podrían escribir Noel Malcolm o [13]Roger Crowley si los ochenta kilómetros de estanterías del milenario Archivo Veneciano se escanearan, se aplicara OCR a los textos manuscritos y se cruzasen los datos?
IFRAME: [14]https://www.youtube.com/embed/uQQGgYPRWfs 186
[15]Enlace de Youtube
Increible, ¿verdad? En próximos posts ampliaremos este sublime maridaje entre historia y tecnología.
[16]
1. https://augustoferrerdalmau.com/464-atmn_large/miguel-de-cervantes.jpg 2. https://augustoferrerdalmau.com/inicio/249-miguel-de-cervantes-8436575121406.html?search_query=cervantes&r esults=5 3. https://1.bp.blogspot.com/-HHaKJUt6l78/XxdOlz8LL_I/AAAAAAAADFo/sI_FRpDGeWQlk7b3WQMdgTSmANlscoRDACLcBGAsYHQ /s790/Bundesarchiv_Bild_119-1486 252C_Hitler-Putsch 25 4. https://www.bild.bundesarchiv.de/dba/en/ 5. https://www.bild.bundesarchiv.de/dba/en/ 6. https://metahistoria.com/wp-content/uploads/galaxia-gutenberg-agentes-del-imperio.jpg 7. https://metahistoria.com/novedades/agentes-del-imperio-rb/ 8. https://www.history.ox.ac.uk/people/sir-noel-malcolm#tab-272716 9. https://www.abc.es/archivo/periodicos/ 10. http://www.madrid1936.es/ 11. https://miro.medium.com/max/875/1*8ItK-FUWT8KIll3rYPCg9w.jpeg 12. https://papelenblanco.com/imperios-del-mar-la-mejor-historia-sobre-la-batalla-final-por-el-mediterr C3 A 1neo-927ca8201bc4 13. https://rogercrowley.blogspot.com/ 14. https://www.youtube.com/embed/uQQGgYPRWfs 15. https://www.youtube.com/watch?v=uQQGgYPRWfs 16. https://metahistoria.com/wp-content/uploads/galaxia-gutenberg-agentes-del-imperio.jpg
Imperios digitalizados 2. Big Data para la Máquina del Tiempo. (2020-07-25 12:49)
[1] 185
1578. Juan de Escobedo, secretario de Juan de Austria, es asesinado en medio de una oscura conspiración, orquestada por Antonio Pérez, una especie de primer ministro de Felipe II, con la posible connivencia del rey.
[2] 2
Muerte de Juan de Escobedo, de Lorenzo Valles. (Museo del Prado)
Una breve investigación en los fondos digitales del Archivo Histórico Nacional, muestran que el conspirador tuvo acuerdos económicos posteriores al asesinato; con el hijo de su víctima. Al parecer esta escritura se firmó tan solo medio año antes de la huída de Antonio Pérez a Zaragoza. Un posible hilo más que añadir al tapiz de la Leyenda Negra.
En éste caso el texto manuscrito se lee con facilidad. De no ser así, como en la imagen siguiente datada en 1494...
[3] 187
[4]
...siempre dispondremos de un resumen del contenido.
[5] 4
No cabe duda que la digitalización de los archivos históricos constituye una herramienta increible para investigadores, y una preservación de nuestro legado. Máxime si los manuscritos pasasen un reconocimiento de caracteres y se pudiesen utilizar filtros y cruzar datos como en una base en PDF. Este proceso es el que se realizó con los célebres papeles de Panama y que permitió, a partir de PDF´s fotográficos, indexar textos y realizar una investigación que implicó a decenas de periodistas de todo el mundo. En este sentido se implementa la iniciativa [6]Time Machine Europe. 189
IFRAME: [7]https://www.youtube.com/embed/UlvTARiC5fM
[8]Enlace alternativo
Cuando se materialice este enorme proyecto, autores como el veterano [9]Roger Crowley no tendrán que desplazarse para visitar archivos, dispersos por media Europa. Salvo para hacer turismo y visitar in situ los lugares que ambientan sus obras.
Quizás se funden foros de historiadores aficionados que descubran datos nuevos de nuestro pasado o que den la vuelta a teorias universalmente aceptadas o poder contestar preguntas del tipo ¿realmente estuvo Felipe II implicado en la muerte de Juan de Escobedo?
Las grandes productoras lanzarán más series como el recomendable docu drama Otomano... 190
IFRAME: [10]https://www.youtube.com/embed/NRuOTkSgDbs [11]Enlace alternativo
...el auténtico problema es saber si los gobiernos están dispuestos a divulgar realmente el patrimonio histórico nacional. Eso lo veremos en próximos posts. 1. https://1.bp.blogspot.com/-Smla1Xm-I8Q/XxgECeDrkUI/AAAAAAAADF4/QYhgCIlmb44tQ59n5LpnjZNIeL7vNkUBwCLcBGAsYHQ /s1263/Antonio 2BP 25C3 25A9rez 2By 2BPedro 2Bde 2BEsc 2. https://upload.wikimedia.org/wikipedia/commons/thumb/7/7a/Muerte_de_Juan_de_Escobedo_(Museo_del_Prado).jpg /1024px-Muerte_de_Juan_de_Escobedo_(Museo_del_Prado).j 3. https://1.bp.blogspot.com/-qqsZG3E3Ugo/XxgECXbQNCI/AAAAAAAADF0/7fCrZOVoRX4LjHwSf682BYX8dewgmSdrQCLcBGAsYHQ /s1104/Armada 2Bde 2BVizcaya 2B1494.jpg 4. https://1.bp.blogspot.com/-Smla1Xm-I8Q/XxgECeDrkUI/AAAAAAAADF4/QYhgCIlmb44tQ59n5LpnjZNIeL7vNkUBwCLcBGAsYHQ /s1263/Antonio 2BP 25C3 25A9rez 2By 2BPedro 2Bde 2BEsc 5. https://1.bp.blogspot.com/-AefgfFJcpsM/XxgECbxTBxI/AAAAAAAADF8/h56hQPqE--Q_BK_9BWPpoKCqULT87JbLQCLcBGAsYHQ /s1366/Antonio 2BP 25C3 25A9rez 2By 2BPedro 2Bde 2BEsc 6. https://www.timemachine.eu/ 7. https://www.youtube.com/embed/UlvTARiC5fM 8. https://www.youtube.com/watch?v=UlvTARiC5fM 9. https://rogercrowley.blogspot.com/ 10. https://www.youtube.com/embed/NRuOTkSgDbs 11. https://www.youtube.com/watch?v=NRuOTkSgDbs
191
C1b3rWall 2020 - Telecomunicaciones. Del IoT al Internet of the Animals. (2020-07-27 15:41)
[1]
1. El lobo olfatea un grupo de posibles presas.
El módulo dos de C1b3rWall Academy 2020 ha estado dedicado a comunicaciones inalámbricas. Los ponentes han comentado gran número de tecnologías, aplicaciones impactantes y amenazas poco convencionales.
Algunos de los aspectos que más me han interesado, han sido la creciente proyección del IoT, asociada al Big Data y a la Inteligencia Artificial, y la expansión del 5G; que va a permitir unas telecomunicaciones impensables hace una década.
[2] 192
2. Las presas huyen monte arriba. Puede que haya alguna más joven, débil o enferma.
Pensaba escribir un artículo acerca de la gran cantidad de cosas que se pueden monitorizar gracias a estas nuevas tecnologías: aviones, barcos trenes, contenedores, móviles, redes wifi... Al final me decanté por investigar un poco acerca de un mundo fascinante y con una fuerte implicación ética: El internet de los animales.
193
[3]
194
3. Los cazadores se despliegan para interceptar a sus presas.
En las imágenes numeradas adjuntas he pretendido recrear una escena propia de documental de naturaleza. En un futuro cercano, toda esa escena podría ser captada in situ, a través de minúsculos sensores y cámaras adheridos al cuerpo de sus protagonistas, de cámaras fijas y drones; con datos transmitidos en tiempo real a la ISS y puestos on line. 195
La actualidad. Base de datos [4]Movebank, de fauna salvaje monitorizada en remoto por todo el planeta. En el ejemplo, movimiento de un grupo de unos cincuenta lobos grises canadienses. En 2018 existían más de 50000 animales salvajes equipados con distintos sensores, con geolocalización GPS y capaci- dad de transmisión de datos por telecomunicaciones. Gracias a un grupo de focas y leones marinos se pudieron recabar infinidad de datos de zonas inexplorables por medios convencionales, en las profundidades del remoto mar antártico de Amundsen. A raiz de ese volumen de información estamos más cerca de comprender el deshielo polar y su relación con el aumento del nivel del mar.
[5]
196
4. La manada ha conseguido su objetivo.
La monitorización de los desplazamientos de ciertas especies de murciélagos frugívoros, reservorio tradicional de bacterias y virus (como los coronavirus), puede aportar una ayuda inestimable a la epidemiología. [6] [7]
5. Pero algo perturba su comida...
Incluso se conoce que determinadas especies de fauna puede detectar terremotos y tsunamis antes que los propios sismógrafos. ¿A qué esperamos para promover esta IoA que tantas vidas puede salvar y tantos conocimientos prácticos aportar? En este sentido se creó este Big Data mundial de la fauna, conocido como Proyecto [8]Icarus.
[9] 197
6. Una pareja de buitres se ha lanzado desde los farallones rocosos para aprovechar la carroña y alimentar a sus polluelos.
En verdad que este proyecto parece tener infinidad de ventajas y muy pocos inconvenientes. Incluso se propugna sustituir la comunicación con los satélites, por un enlace con la ISS (mucho más cercana y por tanto con menor laten- cia).
[10] 198
[11]
Fuente y enlace de gran interés
El título del proyecto me parece muy bien escogido. Aquellos con conocimientos de mitología recordarán el dramático destino de Ícaro, el hijo de Dédalo. Fabricó unas alas con plumas de aves y las adhirió a su cuerpo con cera. Emo- cionado por el vuelo, ascendió tanto, que el calor del sol derritió la alas y se precipitó al vacio. Pero esto sera tema para nuevas entradas. 199
[12] 7. La libélula sobrevuela la carroña en busca de jugosos insectos. 1. https://1.bp.blogspot.com/-w_C43vdZUJk/Xx6itQw2IwI/AAAAAAAADG4/W1JrTcCDKYcKWGuOWRfJ5rx4XrNwB38_wCLcBGAsYHQ /s3166/DSCN3989 2B 25283 2529.jpg 2. https://1.bp.blogspot.com/-FELvPmATt-8/Xx6i-H32Q5I/AAAAAAAADHA/1heF-fAs_wYvJMLpBZ7mj_oG0iKAM-41QCLcBGAsYHQ /s2048/Corzos 2Bsaltando 2B2.jpg 3. https://1.bp.blogspot.com/-kqOYb7HQx4M/Xx6jRLfTt8I/AAAAAAAADHI/IGOdgGaW1x4zqqw7PnKyjhL8vBMXQDMbgCLcBGAsYHQ /s2048/DSCN3958 2B 25282 2529.jpg 4. https://www.movebank.org/ 5. https://1.bp.blogspot.com/-KU1EC5WUWig/Xx6jniuUKEI/AAAAAAAADHQ/2-H30VnUmNIixuP2q5eBVIMXW3a13wc-wCLcBGAsYHQ /s2048/DSCN3971 2B 25282 2529.jpg 6. https://1.bp.blogspot.com/-1DTeFTBXekU/Xx6jn97MlpI/AAAAAAAADHU/4O_IFFBOucUIXN_jHdUUWI_keZXfZuovgCLcBGAsYHQ /s2048/DSCN3972 2B 25282 2529.jpg 7. https://1.bp.blogspot.com/-8-Gm-FuPzBc/Xx6nZWcw6dI/AAAAAAAADH4/diJyvAXJO6Y4msJ0Pfbx29U2BxGhBZv0gCLcBGAsYHQ /s2048/DSCN3972 2B 25282 2529.jpg 8. https://www.icarus.mpg.de/en
200
9. https://1.bp.blogspot.com/-CHunfYnAgx0/Xx6kC1uB8wI/AAAAAAAADHk/KiopIAQnV8kAMKQfmQt8C1oeRnKe7y-LgCLcBGAsYHQ /s2048/En 2Bel 2Bnido 2B1.jpg 10. https://andaresdelaciencia.files.wordpress.com/2018/05/gps-001.jpeg 11. https://andaresdelaciencia.com/2018/05/24/el-internet-de-los-animales-o-los-cyber-animales-conservacion- ocomercio/ 12. https://1.bp.blogspot.com/-7cp0fc_zct8/Xx6kZR6W77I/AAAAAAAADHs/ebdHbrYko4wQkHpJUhmZM0Zc07LiYpCLwCLcBGAsY HQ/s1534/Lib 25C3 25A9lula 2Bcomiendo.jpg
Imperios digitalizados 3. Big Data para la Máquina del Tiempo. (2020-07-28 16:30) [1]
Venecia, un imperio marítimo de mil años.
1447. Andrea Donato, duque de Creta, es denunciado anónimamente por corrupción. Las instrucciones para su detención no pueden ser más detalladas. A Benedetto da Legge, capitán de galera encargado de arrestar al duque: 1) Irá con la mayor rapidez posible a Candía. Se prohíbe detenerse en ninguna parte. 2) En Candía anclará en la bahía sin desembarcar. No permitirá que nadie desembarque ni suba a bordo. 3) Enviará a una persona de confianza a Andrea Donato, pidiéndole que 201
suba a bordo
202
para conferenciar. 4) El pretexto de la conversación será conseguir información sobre la situación en Levante, pues el capitán fingirá que va a Turquía a ver al sultán. 5) Cuando Donato esté a bordo, Benedetto lo retendrá, afirmando que es esencial que vaya con él a Venecia, sin explicarle los motivos. 6) Antes de abandonar Candía enviará la carta que le ha sido confiada al capitán y consejeros de Creta. 7) En caso de que Donato se niegue a subir a bordo, o no pueda hacerlo, el capitán Legge enviará otra carta, que le ha sido entregada, al capitán y consejeros, de modo que el duque ciertamente vendrá. 8) Una vez Donato esté a bordo, la galera partirá hacia Venecia de inmediato, donde… [el capitán] lo conducirá a la cámara de tortura. 9) Durante todo el viaje está prohibido hablar con el prisionero; en caso de que sea imprescindible ir a la costa. Donato no debe desembarcar por ningún motivo. Fragmento de [2]"Venecia. Ciudad de fortuna" de Roger Crowley.
[3]
La imagen superior nos muestra A Frederick Kaplan, el "señor del tiempo" veneciano. ¿Pero qué es lo que trata realmente de conseguir con su proyecto y el trabajo de su equipo? ¿Cuáles son los pilares sobre los que pretende sustentarse la "Máquina del Tiempo"? Escuchemos sus propias palabras. 203
IFRAME: [4]https://www.youtube.com/embed/2-Ev4rU27HY
El proyecto dirigido por Kaplan tiene claro un punto fundamental: no es suficiente con digitalizar un documento histórico y convertirlo en un archivo PDF fotográfico. En nuestra prueba de concepto en los archivos españoles, llegamos a la conclusión que la disolución de la Orden del Temple no debió ser tan excesivamente traumática en Aragón como en el vecino territorio de Francia.
Sabemos que Jaime II tomó cartas en el asunto templario al recibir las confesiones, arrancadas bajo tortura, del Gran Maestre y otros notables templarios franceses. De hecho, entre 1308 y 1309, las tropas reales asediaron y asaltaron las fortalezas templarias que se declararon en rebeldía. No obstante, el destino de los alzados no sería la tortura o el cadalso: fueron declarados inocentes en el concilio de Tarragona de 1313. El documento rastreado, datado en 1332 muestra una transacción entre dos antiguos frailes templarios, uno de ellos reconvertido en Comendador de la orden hospitalaria.
[5] 204
El problema consiste en que esa información la obtengo del resumen del documento. Sería necesario un especialista para interpretarlo y poner esos datos en contexto. ¿Cómo pretende Kaplan transformar estos textos en una web semántica?[6] 205
[7]
Fuente
Como vemos, se trata de implementar técnicas mínimamente invasivas con los delicados volúmenes y aplicar la inteligencia artificial a la interpretación e indexación de los textos. En nuestra prueba de concepto equivaldría a obtener todas las referencias históricas respecto a los protagonistas de la transacción y, a partir de ahí, reconstruir toda su red social. Esto no significa que los esfuerzos de digitalización convencional de fondos sean en absoluto superfluos. Sin ir más lejos, podemos obtener cerca de 300 documentos de una figura como don Juan de Austria. 206
[8]
[9]Fuente En resumen, iniciativas como la "Máquina del Tiempo" son muy loables y aplican el Concepto STEAM, para incorporar a filólogos, humanistas, historiadores... a proyectos interdisciplinares, con fuerte componente científico-tecnológica. Sin menospreciar en ningún momento los grandes esfuerzos de [10]digitalización archivística y sus innegables logros. Eso, siempre que los gobiernos estén dispuestos a compartir toda la información que atesoran...
[11] 1. https://1.bp.blogspot.com/-2jdelEhLm1g/XxxVsRfxQsI/AAAAAAAADGk/KgrXxIJ7P4AupKV-Pt5QJQoKzbobir2xACLcBGAsYHQ /s2048/Venecia 2Bmilenaria 2Bp.jpg 2. https://www.amazon.es/Venecia-Cuidad-Fortuna- C3 81tico-Historia/dp/8416222185
207
3. https://wi-images.condecdn.net/image/x0Dd65zrra5/crop/1020/f/venetian.jpg
208
4. https://www.youtube.com/embed/2-Ev4rU27HY 5. https://1.bp.blogspot.com/-ya4Wokv-n48/XyAv5E-MReI/AAAAAAAADIg/aiiLZqp-Yu4JfL7SgJU2zhmYfjilartUACLcBGAsYHQ /s1668/Temple 2By 2BHospital.jpg 6. https://1.bp.blogspot.com/-ya4Wokv-n48/XyAv5E-MReI/AAAAAAAADIg/aiiLZqp-Yu4JfL7SgJU2zhmYfjilartUACLcBGAsYHQ /s1668/Temple 2By 2BHospital.jpg 7. https://www.nature.com/news/the-time-machine-reconstructing-ancient-venice-s-social-networks-1.22147 8. https://1.bp.blogspot.com/-NWDyBhDuuZo/XyAzxafIMfI/AAAAAAAADIs/_1DaljpbXk4760dQocxRrIX-QpXDUcrpQCLcBGAsYHQ /s1123/Juan 2Bde 2BAustria.jpg 9. http://pares.mcu.es/ParesBusquedas20/catalogo/autoridad/109100 10. https://historicodigital.com/enlaces-de-interes.html 11. https://1.bp.blogspot.com/-2jdelEhLm1g/XxxVsRfxQsI/AAAAAAAADGk/KgrXxIJ7P4AupKV-Pt5QJQoKzbobir2xACLcBGAsY HQ/s2048/Venecia 2Bmilenaria 2Bp.jpg
2.7
August
C1b3rWall 2020. Telecomunicaciones. Del IoT al IoA 2 (2020-08-01 11:54) [1]
La irrupción del IoT y del IoA nos obliga a reescribir el famoso cuento de Caperucita. La inocente Caperucita cruza el oscuro y milenario bosque para atajar hacia la casa de su abuelita. 209
Va escuchando su música predilecta en sus minúsculos auriculares. Una gran suerte, pues, si conectase el altavoz exterior, los animales de la floresta ancentral huirían despavoridos; frente a los agresivos graves reguetoneros.
Con un experto gesto, despliega una imagen virtual en sus gafas RV, que le indica los nombres de todas las especies de árboles y arbustos.
Su app de seguimiento de fauna anuncia la presencia de trepadores azules en el comedero de aves frente al mirador.
La aplicación de mapas dirige a Caperucita al mirador en cuestión de minutos.
[2]
Después de ver videos de productos que no tienen ningún interés para ella y, que incluso puede que no sean adecuados a su edad; salta una alarma por la presencia del Lobo Feroz.
Unos segundos de ansiedad, visionando unas cuñas publicitarias... por fín la app conduce a Caperucita a un lugar seguro, desde donde tomará buenas imagenes del Lobo Feroz que compartirá en sus redes sociales y por 210
mensajería instantánea con su abuelita...
211
[3]
Incluso se permitirá realizar unos bocetos en su programa de dibujo virtual (de pago, sin publicidad).
[4] 208
Comentamos en el post anterior de la serie que, el hecho de equipar la fauna salvaje con sensores y transmisores, al margen de la miniaturización creciente de la instrumentación; conllevaba unas fuertes implicaciones éticas.
PROS CONTRAS Exploración de lugares inaccesibles al ser humano. La manipulación de animales salvajes y la colocación de objetos extraños en su cuerpo, produce un estrés y unas consecuencias que pueden comprometer su salud e incluso su supervivencia. Protección de fauna amenazada Los datos pueden ser también utilizados por cazadores furtivos o intereses comerciales al margen de la preservación Detección temprana de terremotos y tsunamis. ¿Quién controlaría estas campañas de instrumentación y tabulación de datos? ¿Serían los datos vendidos a terceros para su beneficio empresarial: bancos, aseguradoras, distribuidoras de material sanitario… El conocimiento e identificación de animales concretos, puede desarrollar una conciencia ecológica que ayude al conservacionismo natural. Humanizar a la fauna salvaje o verlos como a mascotas remotas puede trivializar el problema de su conservación. ¿No es lo mismo el anillado 5
masivo de aves del siglo XX que la aplicación de la IoA?
¿Seguirá la fauna siendo realmente salvaje?
...
[5]
[6] 210
...
7
[7] [8]
… Fuente
Son interrogantes que precisan de la implantación de códigos deontológicos y una fuerte discusión bioética.
Entretanto, meditemos y disfrutemos de esta [9]iniciativa menos invasiva en nuestra piel de toro.
212
1. https://1.bp.blogspot.com/-niTSG8u2WPg/XzBEihuEZiI/AAAAAAAADSc/J4ds8PLIhd02p_R6q442jqRFEJcV8TfggCLcBGAsYHQ /s1024/Teixedelo 2Bpp.jpg 2. https://elguadarramista.files.wordpress.com/2015/02/sin-tc3adtulo.png?w=995&h=550 3. https://1.bp.blogspot.com/-K6sydPABinE/XzBEyrlUx-I/AAAAAAAADSk/kNbtN_MxXIc60nX880-wLaKYNFBxkBOJgCLcBGAsYHQ /s1024/la 2Bmirada 2Bdel 2Blobo 2B2 2Bpp.jpg 4. https://1.bp.blogspot.com/-AdD6GkrOIWA/XzBE7MZ6iDI/AAAAAAAADSo/dy1jF-dOoOQeGgF0vOudYK6NhMtjpnY2wCLcBGAsYHQ /s1024/bloc 2Bde 2Bcampo 2BPp2.jpg 5. https://1.bp.blogspot.com/-_XsHQMgqJo0/XzBFLFRNWtI/AAAAAAAADS4/QHumwAOEXMg8FZ8uUNWJk95GJpRrWAO8wCLcBGAsYHQ /s800/nido 2Bpp.jpg 6. https://1.bp.blogspot.com/-A6-mWfnonNo/XzBFXg_xE_I/AAAAAAAADTA/gb4nU_tM44cZ0eYic83hvoCrgOsaEEkjgCLcBGAsYHQ /s738/Quetzal 2Bmale 2B1 2Bpp.jpg 7. https://1.bp.blogspot.com/-DW2lympt9To/XzBFDuuNPPI/AAAAAAAADSw/y2OzkfCajBcWYda0yHx_0PHAUWbGTAb7ACLcBGAsYHQ /s1073/IoA.jpg 8. https://andaresdelaciencia.com/2018/05/24/el-internet-de-los-animales-o-los-cyber-animales-conservacion-ocomercio/ 9. https://spain.observation.org/index_map.php
Imperios digitalizados 4. Cuando la digitalización no es el problema. (2020-08-09 09:34)
213
[1]
Fuente
Resulta muy chocante que las fuentes históricas relativas a sucesos del siglo I a.C, como las Guerras Mitidráticas...
[2]
Fuente
...O la condena de nuestro insigne Miguel de Cervantes a la "mutilación vergonzosa" de su mano derecha por su participación sangrienta en un lance de honor... 214
[3] Fuente
...Resulten más asequibles de consultar que documentos de nuestra historia más reciente. Algunos titulares periodísticos resultan muy reveladores en este sentido. El archivo más secreto del mundo y las trabas a la investigación histórica 16 mayo, 2012 [4] [5] europapress
215
Actualizado 29/05/2012 13:33:24 +00:00 CET El ministro rechaza desclasificar 10.000 documentos secretos entre 1936 y 1968 porque solo provocaría "ruido mediático"
España impide a los historiadores investigar en sus archivos 300 investigadores piden al Gobierno que desbloquee de inmediato el ac- ceso a la documentación diplomática española de carácter histórico y que desclasifique los 10.000 documentos militares de los años 1936 a 1968 [6]
12/07/2013 07:00
El Gobierno oculta pruebas sobre la complicidad de España con Videla [7] 15/11/2014 23:30 Cuando la Historia continúa siendo materia reservada Actualizado 31/12/2015 Cuando escribí mi obra "Crime Investigation", pude consultar cómodamente desde mi casa un gran volumen de datos públicos. - Informes forenses de casos australianos, declaraciones juradas en juicios norteamericanos, diligencias previas de casos nacionales. - Detallados informes técnicos o políticos. Sobre grupos APT internacionales o depuración de responsabilidades políticas por conducir a países a guerras. - Imágenes de cámaras de seguridad o personales, de individuos acusados de delitos. - Incluso una petición FOIA (Freedom of Information Act) relativa a un celebérrimo caso de hacking a la NASA. Antes de la existencia de Internet, este trabajo nunca podría haber visto la luz. Aún así la considero una obra divul- gativa. Muy alejada de las extensas indagaciones archivísticas que realizan los académicos, para fundamentar sus investigaciones. Comentaba Frederick Kaplan en posts anteriores, que la información histórica tenía forma de pirámide invertida, a mayor antigüedad, menor información. El objetivo de proyectos "Máquina del tiempo" pretende ensanchar el vértice de la pirámide, mediante indexación e incluso extrapolación. Pero el problema no siempre es el costo de la digitalización. En España, por poner un ejemplo, existen decenas de archivos diseminados por todo el territorio. Algunos privados, otros públicos, pero muy mal catalogados por proble- mas de recursos; y algunos públicos pero…inaccesibles. Confieso que no tengo carnét de investigador y nunca he consultado un solo documento en uno de estos venerables archivos. Pero puedo comprender la frustración del académico, que realiza una investigación pagada con fondos públicos, en la cual precisa algo tan neutro como acceso a documentos diplomáticos del siglo XVI… 216
que le es negado por estar considerados información reservada ??
217
Por supuesto intentar recabar info del siglo XX en esos archivos es como mentar la soga en la casa del ahorcado. 1. http://www.perseus.tufts.edu/hopper/ 2. https://www.culturaydeporte.gob.es/cultura/areas/archivos/mc/archivos/ags/destacados/2016/4cent-cervantes/ letras-armas.html 3. https://archivo.fundacionfelipegonzalez.org/es/inicio/inicio.do 4. http://www.madrimasd.org/blogs/Historia_RRII/2012/05/16/130311#comments 5. https://www.europapress.es/ 6. https://www.publico.es/archive/2013-07-12 7. https://www.publico.es/archive/2014-11-15
218
219