Los humanos somos gente de costumbres y salvo un “efecto Meneame” que nos comimos un día, el resto de visitas al blog sigue un patron bastante simple y sin sorpresas.

Por eso el otro día mi sorpresa fue mayuscula al ver esto en las estadisticas del Observatorio de Seguridad.

Obviamente algo raro esaba pasando. El modulo de estadisticas no es precisamente para hacer un forense, así que me fui directamente a los logs.

El resultado fue facil de localizar, pero poco gratificante.. miles de peticiones con este formato…

La problematica es que por defecto apache, siguiendo ls recomendaciones del standar, no almacena el contenido de las peticiones POST. Asi que , me toco tunear la configuracion. Para ello utilizaremos el modulo dump_io mediante el siguiente comando:

Luego, cambiamos la configuracion, en mi caso del ErrorLog, para utilizar el modulo. Comentamos la linea que venía y lo dejamos asi:

Reiniciamos el apache y ya lo tenemos… ahora a esperar. Pasados unos dias.. otro pico en los accesos, pero ahora tenemos todos los datos, aunque hay que decir que el log queda un poco infernal

Esta es la primera peticion que mandan, basicamente una prueba para lo que viene despues, pero ya nos hace que sea mas comodo parsearlo de alguna manera para dejar solo lo interesante:

Un poco de bash-fu y ya me encuentro un par de sorpresitas. El comando que ejecuto es:

Y con eso saco las peticiones mas o menos en crudo… mira que majos los chinos, estan intentando sacar el password del blog… (peticion al wp-login.php) y lo otro parece mas bien algun tipo de peticion de prueba..

Efectivamente.. lo serio viene despues.. miles de peticiones como esta:

No la voy a pegar aqui entera, pero creo que ya os haceis una idea. en una sola peticion web, agrupan numerosos intentos de combinaciones login/password.

Me he puesto a sacar todas las combinaciones de los logs de este ataque..

Y me salen unas 400.000!!!

Asi que mucho cuidadito con lo que poneis de password en vuestro blog 🙂

Habreis visto por todos los lados (por ejemplo http://motherboard.vice.com/read/hackers-stole-68-million-passwords-from-tumblr-new-analysis-reveals o https://www.theguardian.com/technology/2016/may/31/tumblr-emails-for-sale-darknet-65-million-hack-passwords) que se esta vendiendo en el mercado negro una lista de mas de 50 millones de usuarios sacados de Tumblr.

Parece que a parte de venderse, se ha filtrado publicamente por “ahi” asi que vamos a echarle un vistazo a ver que sacamos de ello. El archivo que se ha filtrado es un users.tar.7z que descomprimiendo y sacandolo del tar queda respectivamente asi:

y efectivamente el contenido parece que podria ser “legitimo”

Si nos ponemos a contar lineas, el susto llega hasta los 73 millones

Esto con el hashcat tenia pinta de sermuy divertido ]:D…. pero no. Lo primero que podriamos pensar por la longitud de las hashes es que serian un sha-1 o algo similar, pero el estupor es absoluto al ver que aunque se procesa adecuadamente por el hashcat o por el JohnTheRipper, no da ningun resultado. 0 hits.

El primer pensamiento es obviamente que se utilice una semilla o ‘salt’ asociado a cada usuario, y que eso se añada a la clave de alguna manera antes de pasar el proceso de hash. Si es así y no se ha incluido en el leak  el correspondiente a cada usuario, podria convertir los hashes en basicamente inservibles, dependiendo de la longitud de estos.

Pero obviamente, no estamos, en ese caso, la herramienta reconoce muchos menos hashes distintos que lineas del fichero, con lo lo que obviamente hay muchisimas lineas repetidas y no puede ser el caso. Nos quedan dos alternativas, que exista una semilla unica añadida a todas las claves (pepper), o que el algoritmo sea algo mas complejo (varias iteraciones o cosas un poco mas raro). Para probar esto ultimo, he decidido darle un repaso a los distintos subformatos que tiene el JohnTheRipper, no vaya a sonar la flauta 🙂 para ello busco los que me puedan cuadrar del comando john –list:subformats

Pero agua de nuevo.

Solo me queda sacar ciertos datos de lo comunes o no que pueden ser esas repeticiones. Asi que las voy a contar.

WOW… 210.000 usuarios han coincidido en la clave, eso debe ser password, o tumblr  o 1234 o algo asi X”D. Pero desde luego nos estamos perdiendo algo.

Para que luego alguien diga, que si se filtran tus datos, esta todo perdido X”D

Dandole una vueltecita rapida a los usuarios, si cogemos todos los correos vemos la dura competicion entre hormail y gmail. Y si lo restringimos a los .es, hotmail arrasa, y la sorpresa es el dominio sek.es

Y poco mas por ahora. dejare esto haciendo pruebas a ver si descubrimos que hay detras de esos hahes…

En primer lugar, gracias a los que tuvieron a bien menear la noticia anterior. Hizo portada en meneame y aprendimos por las malas lo duro que puede ser eso. Ahora alguien tiene en el ToDo asegurarse de que el blog aguanta mas 🙂

En cuanto al bicho del telefono, tras inputs de varias personas(fundamentalmente @timstrazz @michalmalik  @MalwareMustDie y los propios comentarios de la entrada anterior), hemos hecho entre todos algunos avances..

El binario guarda su configuración en el archivo /system/bin/unint8int, que aunque esta en el path y con permisos de ejecucion en realidad es una base de datos SQLite.

Por otro lado, estuvimos buscando como vendria eso vinculado a algun apk. en teoría parece que debiera haber algo así como un android.debugs.bin, pero no aparecio en el sistema. (Buscado a traves del comando pm list packages -f)

La gente de @MalwareMustDie hico un poco de ingenieria inversa del binario y lo colgo en un Pastebin. Ahi se referencia a otra base de datos, que pudiera indicar un apk vinculado al malware. “/data/data/com.mediatek.mobileaudioconnction/databases/audio.db” . El formato de esta BD es la misma es igual que la anterior, pero con menos datos almacenados (al menos en este momento, pero desde luego, el IMEI del telefono que aparece en ese archivo no parece tener mucho que ver con nada de audio)

En este caso si que existe un apk, MTKAudioAssistant.apk que parece estar vinculado con ello. Un decompilado rapido nos muestra que esas clasess estas presentes com.mediatek.mobileaudioconnction (siempre me va a llamar la atencion que sea connction .. sin la e)

Dentro del DebugBinBroadcast (aqui os lo dejo en otro pastebin http://pastebin.com/0sgVqU6K) puede verse como el programa va adquiriendo informacion del dispositivo y la almacena en su SQLite

.

Tengo que acabar de leermelo con calma, porque desde luego tengo curiosidad por ver que mas esta haciendo, pero cuanto mas miro, mas cosas raras encuentro en el telefono 🙂

Pues si, eso parece.. el telefono viene con bicho desde la fábrica o similar, pero empecemos por el principio…
Este año, como he debido ser malo bueno, los reyes me han regalado un movil nuevo.  Un estupendo telefono chino de esos de marca desconocida en occidente salvo para los muy frikis del tema.

Se trata concretamente de un Doogee Voyager2 D310. Se conoce que esta vez los reyes, aparte de venir de oriente lo hacen a traves de Dealextreme.

Una de las primeras cosas que queria hacer, era investigar como funciona un jueguecito, pero ya hablare de eso otro dia, el caso es que en vez de conectarlo al punto de acceso de casa, lo puse por defecto al de una raspberry pi que tengo para tal efecto. Así se que puedo pinchar todo el tráfico de red para cotillear lo que se manda.

El susto que me lleve fue ya interesante, antes de instalar nada y ya el telefono, simplemente con su android y su cuenta de google ya generaba un monton de tráfico. Alguno de ellos salto ya directamente a la primera como algo “raro”

Definitivamente estas peticiones DNS, apestan. Un breve vistazo a lo que hay en esas máquinas en threatcrowd y confirmado, maquinas conocidas por estar sirviendo malware y unos 500 DNS distintos,

Asi que nada. Ya tengo tarea, encontrar que demonios esta corriendo el telefono que hace estas conexiones. Afortunadamente es un telefono que trae un “Engineer Mode ” que hace trivial ejecutar codigo como root si hace falta. Asi que la primera opcion para encontrar que programa estaba ejecutando esas conexiones fue cutre, pero eficiente.  El comando script para registrar lo que iba saliendo en pantalla, una conexion adb, y un bucle infinito…

while true; do busybox netstat -tapn ; done  

Despues simplemente a buscar cuando aparece la conexion…

Ahi esta… “debugs” que c#~@½ será eso??

Luego, ya te tiras de los pelos al ver el binario.. concretamente se encuentra en la ruta /data/debugs/debugs

Estupendo!! Ahora ya se, que ademas de tener, lo que parece ser un troyano en mi movil, supone un agujero de seguridad y que cualquier otra aplicacion podria intentar escalar privilegios…

Una busqueda, mas detallada encuentra otros dos binarios, esta vez en el /bin

Si no me fallan los calculos y lo poco que he visto por dentro, el debugsrun es que lo ejecuta, y el debugsbak es una copia del debugs que sobreescribe en la ruta original si ve que algo ha cambiado.  No es que sea un fiera del reversing… un mero “strings” ya te cuenta todo eso..

Una vuelta rapida por virustotal me indica que el malware no esta inventariado, asi que os dejo por aqui los md5 de los ficheros 

Tengo pendiente meterme en serio a tracear lo que hacen, tanto por reversing de los binarios como analizando mas en detalle el trafico que generan..

Mientras tanto, para que os hagais una idea, esta es la peticion estandar que he visto…

Os dejo aqui los ficheros.

debugs-malware.tar.gz

Si alguien tiene a bien avanzar con la investigación, subirlos para que se detecten como algo sospechoso o localizarlos en otros modelos de teléfono, please que me avise.

Llevaba tiempo pensando en sustituir mi viejo servidor en casa. Al fin y al cabo, estaba ya mas que obsoleto y solo lo utilizaba para unas cuantas tareas programaticas y como gestor de esa información que no me hace gracia que este en la nube. Todo el resto de cosas ya las he venido subiendo a diversos VPS en los ultimos años.

Al final, la historieta de un amigo al que se le murio un disco duro pero pudo mantener bien los datos gracias a un RAID montado en condiciones fue el espaldarazo definitivo y me compre una QNAP-451. De eso hace aproximadamente un año. Pero el otro día repentinamente, empezo a pitar cada poco. Un pequeño vistazo al televisor al que esta enchufado y se podia ver como cada 5 minutos o asi se veia que la NAS se estaba reiniciando. Lamentablemente desde el comienzo del arranque del sistema operativo ya no se volvia a ver nada.

QNAP 451

Asi que manos a la obra, NAS apagada y a empezar a leer a ver que se puede hacer para reflashearla y restaurar que funcione bien o como minimo poder acceder a los datos.

Lo primero que hice fue desconectar todos los discos duros, eso sí, sin sacarlos del todo del sistema para asegurarme que despues no tengo problemas al volverlos a pinchar y mantener el orden en el que estaban.

Lo siguiente, arrancar el sistema con una distribucion Live de Linux, en mi caso una Knoppix que tenia a mano directamente en un USB. Afortunadamente, el procesador del sistema es un X86 asi que paso facil y en la television se puede acceder al abios para cambiar el orden de arranque. (asegurate de que tenga ssh para conectar en remoto)

Mirando a ver a lo que nos enfrentamos…

Parece que aparte de los discos externos este juguete viene con una especie de disco interno de 512 MB. Esto es lo que tendremos que flashear, pinta facil. QNAP ademas ofrece una imagen de recuperacion completa para descargar.

http://eu1.qnap.com/Storage/tsd/fullimage/F_TS-X51_20140916-1.2.8.img

Copiamos esta imagen al USB y la sobreescribimos en el disco

Rebotamos y voila, ya estamos de nuevo en el sistema, aunque con una version de firmware viejismo. Vamos a proceder ahora a actualizarlo a la ultima version. El mejor enlace que he encontrado para el proceso de instalacion manual es el siguiente: http://qnapsupport.net/?page_id=4672

Ahora antes de instalar hay que ir pinchando los discos de uno en uno, esperando un poco entre ellos para que el sistema los reconozca en el orden correcto. Puedes seguir la evolucion haciendo

Posteriormente lanzamos dos fases de configuracion de los dispositivos y los raid con todas las particiones raras que monta Qnap

Con el primer paso debería aparecer el dispositivo md9 y montarse en /mnt/HDA_ROOT y el md13 (sin montar)

Con el segundo deberían aparecer mas dispositivos y montarse adecuadamente, pero en mi sistema eso no funciona correctamente. Las particiones como tal estan montandas sobre LVM2 y no lo reconoce bien de primeras. Vamos a indagar en esa configuracion.

Como puede verse, el sistema detecta, dos grupos logicos distintos y muchos volumenes distintos. La verdad es que no se que es lo que hace QNAP por dentro. Estan los volumenes lv544 y lv545 de casi 20Gb que yo no he creado y no se lo que tienen. Luego esta el tp1 que es la totalidad de espacio disponible en el Raid5 que monte y lv1 que es la particion de 4 Teras que estoy usando. No recuerdo la configuracion exacta que puse en el menu de Qnap y por que en el segundo volumen no existe un equivalente al tp1 y si al lv1 de datos.  Lo unico que por algun motivo estan desactivados, para poder usarlos es necesario activar el volumen.

Nuevo fallo. parece que el kernel no tiene soporte para alguna de las opciones de LVM2 que se estan usando. Afortunadamente la imagen si que trae los modulos, pero tenemos que insertarlos de uno en uno por orden para que se vayan resolviendo las dependencias

Ahora ya podemos montar el dispositivo si todo ha ido bien.

Y acceder a nuestros datos 🙂

Me he pasado dias y dias mirando los graficos que publique en la entrada anterior y otros similares, y como no puede ser de otra forma les he sacado mil pegas.

La primera, es de formato, tanto el CSV, como esos png’s que se generan son bastante inmanejables. Archivos de 600 Mg en texto plano con los datos no es precisamente el formato más cómodo, y los png’s de 80 Mg tampoco. Ademas, con todos esos datos procesados, se podían hacer bastante mas cosas si los tuvieramos en un formato adecuado

Así que me he puesto manos a la obra, a intentar buscar otra alternativa. La primera pasar eso a un formato un poco mas manejable, a falta de una opcion mejor, he optado por volcarlo a un SQL, concretamente SQLite (al menos para empezar)

Programar no es lo mio, lo reconozco, pero por ahora que funciona. Acabamos de pasar un CSV infernal a una tabla donde poder programar despues las consultas que necesitemos. E

Para que nos hagamos una idea de como afecta, vamos a utilizar como ejemplo una captura de 1h y un Megaherzio

Por de pronto a nivel de espacio en disco ya vemos que ocupa unas 4 veces mas. es el precio por tener las cosas un poco mas estructuradas :). Veamos un poco mas de informacion de lo que tenemos dentro

Es facil de resumir, 1 Mhz de analisis (entre 93M y 94M) separado en 1025 tramos y medido 3600 veces, total casi 3,7 Millones de mediciones.

Pintandolo de la misma manera que hasta hora con el heatmap.py, nos queda algo así. Coincide como veis con unas emisiones de radio FM sencillitas y que se pueden ver bien.

La verda es que estuve mirando el codigo fuente del heatmap.py para ver si lo podia adaptar a obtener los datos del sqlite y tuve que desistir. Sinceramente, pintar unos datos bien estructurados no debía ser tan dificil.

ASí que la segunda parte del ejercicio ha consistido en precisamente eso, extraccion de los datos del SQL y representacion grafica.

Para eso vamos a tirar de nuevo de python y de una gran libreria cientifica que es el matplotlib, tiene una cantidad ingente de representaciones graficas y de posibilidades de calculo.

Contando que tenemos un array completo y sus valores, simplemente hay que alimentarlo tal cual a una de sus opciones gráficas. Tengo bastante dudas en cuanto al rendimiento viendo lo rapido que crecen los archivos,  pero por ahora el resultado parece bastante razonable.

¿Que os parece? Tengo que ver bien como poner las etiquetas de los ejes. Ahora lo siguiente es ver si aprovechando que tenemsos los datos, podemos procesarlos de manera un poco mas seria. Pero eso ya sera en la siguiente entrega 🙂

Lo confieso. Siempre he intentado ampliar mis conocimientos y dedicarme a la observacion y la investigacion. Pero a pesar de mis esfuerzos hay areas en las que estoy absolutamente pez.

Como la gente ademas conoce mi inquietud al respecto, aprovechando el lanzamiento del blog un amigo me propuso adentrarme en uno de esos oceanos inexplorados para mi y que ademas fuera contando mis aventuras aqui. De este modo, y para no postergarlo mas, alla voy, a ver lo que soy capaz de aprender y descubrir en las comnicaciones por radio y el mundo de las ondas.

Para ello, me han prometido irme facilitando algunas herramientas que me vayan permitiendo avanzar en el camino.

La primera ha sido por duplicado, un par de receptores de television USB. Conocia su existencia pero ahora me tocaba pegarme un poco con ellos. La gracia que tienen es que por un modico precio (alrededor de 20-30 €) tienes un dispositivo de recepcion con muchas mas posibilidades aparte de ver el futbol. El nombre formal creo que es SDR (Software Defined Radio) porque le puedes configurar la frecuencia que quieres sintonizar y procesar digitalmente la señal recibida. Dependiendo del modelo exacto las capacidades y el chip exacto pueden variar un poco. Vamos a ver que descubrimos de estos. Esto es lo que me suelta el dmesg con el mas pequeño de ellos.

Afortunadamente a nivel de software la Kali ya viene muy preparada para jugar con estos dispositivos. Empezare por las dos piezas que me han recomendado: rtl-sdr y gqrx-sdr

Se supone que con las herramientas de lineas de comandos del pack rtl-sdr podre hacer ciertas prebas (verificar que funciona, escuchar la radio, grabar una frecuencia a un fichero, etc..) y que gqrx es la herramienta basica sencilla y visual para explorar un poco el espectro.

Lo primero es verificar que el sistema reconoce el dispositivo, y la primera respuesta es NO.

Afortunadamente Google tiene todas las respuestas, el propio kernel lo ha reconocido como un dispositivo de television y nos esta bloqueando el acceso. Asi que toca eliminar el modulo y ya tengo acceso.

Ahora ya lo detecta adecuadamente y hemos averiguado el chipset que tiene. Lo siguiente es ver si podemos escuchar la radio con ello… Para ello me busco cual es la frecuencia en cualquier radio o web y lo pongo con el programa rtl_fm … esto nos dara los datos sintonizados, pero para convertirlo a audio y que suene hay que pasarlo por un reproduztor. Tras varias pruebas, el comando queda así:

rtl_fm -f 96.3e6 -M wbfm -s 200000 -r 48000 - | aplay -r 48k -f S16_LE

Por cierto, que al receptor he tenido que enchufarle la antena, porque si no, no sintoniza nada y aun así con bastante ruido. Me temo que este sera el primer encontronazo de muchos otros en la importancia de las antenas :/

La siguiente herramienta en pasar por mis manos en el GQRX. Es un interfaz grafico para sintonizar el dispositivo, ver la intensidad de la señal e intentar algunos ejemplos basicos de demodulacion (AM, FM, etc). Sintonizando en las misma zona de frecencia que antes, es posible nuevamente escuchar la radio y ahí si, apreciar la poca calidad de la señal que recibimos. Para hacernos una idea, aqui os dejo dos capturas, una sin antena y otra con ella. Y eso que es la cutre super sencilla que venia con el receptor.

GQRX sin Antena

GQRX con Antena

Tengo que reconocer que despues me he puesto a cotillear un poco por el espectro y despues de perder unas cuantas horas he llegado a una conclusion clara… no me entero de nada. Asi que volvi a recurrir a mi amigo a ver si me daba alguna pista de donde habia alguna onda interesante y que era todo aquello que había visto. No voy a reproducir literalmente su respuesta, pero basicamente me volvi con las manos vacias dandole vueltas a que podía hacer para tener una vision global de lo que  hay en el espectro de ondas madrileño sin dejarme los ojos pegado a una pantalla avanzando de megaherzio en megaherzio.

Al final he optado por esta solucion, y la verdad es que ya os adelanto que estoy muy satisfecho. Se basa en el comando rtl-power que viene en el paquete rtl-sdr. A ese programa le podemos pasar un rango de frecuencias y unos tiempos de muestreo y total y te genera un archivo “crudo” en formato csv con las potencias de emision observadas en cada uno. Estupendo detalle pero inmanejable por si mismo. Para completarlo ya hay alguien que se ha currado una manera de visualizarlo en formato heatmap.

Para hacerlo nos tenemos que clonar el repositorio lo primero y luego alimentarlo con un fichero.

El comando que estoy usando para capturar los datos es el siguiente:

Basicamente lo que le estamos pidiendo es que durante 3 horas barra el rango de los 88 a los 188 Mhz en saltos de 2k y cada vez, descarte un 30% de las lecturas por los extremos (sin ello se veia que en esa zona la sensibilidad era mucho mas baja y salian unas estupendas bandas negras verticales). Con ello obtenemos un estupendo csv de unos 600 Mg. Este a su vez lo procesaremos con el heatmap.py que nos acabamos de bajar

Que nos dara algo así pero bastante más grande. En la primera pueden verse un par de canales de FM y en la segunda algun tipo de comunicacion intermitente (ya investigare)

Al final lo que he preparado un sencillo script para barrer el espectro de 100 en 100 Mghz y generar el grafiquito así como un pequeño thumbnail. Aqui os dejo unos cuantos, ojo con ellos que ocupan unos 80 Mg cada uno.

88-188Mhz 

188-288 

288-388 
388-488 

488-588 

588-688 

688-788 

788-888 

888-988 

Ahora ya puedo explorarlos a ratos e ir viendo lo que me va llamando la atencion. Ya os ire contando mis desventuras mientras sigo mis observaciones. Eso si, por de pronto se puede ver que el aparato se vuelve totalmente sordo pasadas ciertas frecuencias. A ver si puedo a ir arrojando luz sobre lo que va apareciendo ahi

¿Alguien se anima a acompañarme en mis observaciones?

La actualidad política me tiene absorto. Ante la evidencia absoluta de que estamos viviendo un momento de cambio no puedo resistirme a hacer cierto seguimiento de los acontecimientos. PP, PSOE, Podemos, Ciudadanos embarcados en un continuo toma y daca de declaraciones, negociaciones, pactos y alternativas.

Y en ese caldo de cultivo, mi deformación absoluta me lleva a pensar… ¿Cómo pueden afectar esas alternativas políticas aspectos a nuestra Ciberseguridad.? Está claro que muchos aspectos de estos tendremos que discutirlos cuando sean las elecciones generales. El Mando Conjunto de CiberDefensa no va a cambiar en este momento (y puede que tampoco después visto lo visto)

Por lo que ahora respecta, mi reflexión me lleva a pensar en que puede haber un cambio fundamental en lo que se avecina. Mucho se ha hablado de las nuevas fuerzas políticas, iniciativas ciudadanas y demás que abogan por una “regeneración democrática” y creo que ese es el principal aspecto que puede afectarnos en términos de Ciberseguridad. Leía hoy en la prensa los puntos del pacto entre PSOE y Ciudadanos. y extraía algunos puntos.

La primera tanda es bien sencilla, transparencia y buen gobierno y la publicación de la estructura, retribuciones y cuentas de los partidos.

Siempre puede alguien llevarse un susto, pero esto a estas alturas lo tendríamos que tener superado, teniendo ya alguno de esas características aunque todavía recuerdo el susto en el PP cuando se filtró lo que supuestamente era su contabilidad de los últimos años.
La segunda tanda es más dura, bajo el epígrafe de participación ciudadana.

Portal para comunicación directa e interacción entre la ciudadanía y la Administración. Bueno, complicado. No sé cómo se va a instrumentalizar eso, pero el primer riesgo de dejar algo tremendamente poco funcional para decir que se ha hecho y que la gente no lo use es bastante evidente. Luego quien sabe, veremos campañas orquestadas para echarlo abajo o saturarlo de peticiones con cada tema según las distintas agrupaciones favorables o opositoras a ese debate. Ojala lo consigan, pero por aquí ya podríamos encontrarnos alguna sorpresa después. Además.. ¿que opinara la Agencia de Protección de Datos, las opiniones que yo exprese ahí serán datos de nivel alto porque tienen un carácter político?

Y la siguiente para mi es la más “hardcore”: Publicación en formato y en tiempo real de toda la información que maneja y elabora la administración pública andaluza. Ahí queda eso. Lo primero que veo es una horada de abogados diciendo que por esto y por lo otro eso no se puede publicar, después un macro proyecto de implantación de esto que solo en licitarlo les lleva tres años y luego en otros 5 no se ha puesto en marcha y que “curiosamente” en el plan de despliegue, se han “””olvidado””” de incluir aquel reducto que utilizaban para sus chanchullos. Quien va a garantizar que la información se puede publicar, que está completa, que es íntegra… ¿Qué valor tiene esta información para un servicio de inteligencia de otro país?

No se, me asaltan cientos y cientos de duda, en viabilidad e implicaciones de todo esto. Y sobre la mayor de todas…. ¿Seré el único al que le inquietan?

Hoy me encontraba una noticia sorprendente en un Pastebin

Aparentemente lo ha escrito el autor del otro ramsomware llamado Locker (que conste que en la primera lectura entendi Cryptolocker), aquel famoso que en forma de de Notificacion de correos y muchas otras variantes cifraba el contenido del disco duro y pedia un rescate en Bitcoins para facilitarte la clave de descifrado. Este parece que es del mismo estilo, pero una familia distinta.

Cuanto daño y cuanto bien ha hecho este tipo de Malware en España. Mucha gente ha aprendido la importancia de unos buenos backups por la via mas incomoda debido a este bichejo. Y no estoy hablando de particulares y pequeñas Pymes que esto de la seguridad informatica les viene muy de lejos, que por supuesto que les habra alcanzado de lleno. Estoy hablando de grandes corporaciones, a ver si hay alguien que se atreve a decir que esta amenaza la tenia 100% controlada, que mas de uno tuvo que correr.

Pero volviendo al tema, lo que dice el “presunto” autor del Locker, es que se arrepiente de todo el daño causado, y que a partir del próximo día 2 de Junio todos los ficheros se van a descifrar automáticamente.

Acompaña el post con un enlace a Mega, con la supuesta base de datos de las claves y algo de explicación técnica

Sinceramente, no conozco el detalle de su funcionamiento como para saber si esto es legítimo o no. Mi unica reflexion es que si esto cierto, por un momento podremos pensar que vamos a disfrutar de una red un poco mas segura, pero lamentablemente no creo que tarden mucho otros en lanzarse a ese nicho de negocio si queda libre