sábado, 1 de noviembre de 2014

Vulnerabilidades en I2P que afectan a Tails

Tails [1] es un sistema operativo que se ha construido con el propósito de brindar un nivel de privacidad y seguridad alto, incluso contra organizaciones con una importante cantidad de recursos para tareas de espionaje. Sin embargo, como es bien sabido, es extremadamente difícil construir un sistema de cómputo libre de errores, los cuales que llevan a problemas de seguridad, especialmente cuando se incluyen librerías y aplicaciones de terceros.

Recientemente fueron descubiertas varias vulnerabilidades [2], [3], en una aplicación suministrada como parte de Tails, llamada I2P [4]. Esta aplicación ofrece un servicio similar al de Tor project para anonimizar el tráfico de red que circula desde y hacia el cliente. Las vulnerabilidades permiten la ejecución remota de código y por lo tanto la extracción de información para identificar al usuario.

En primer lugar fueron encontradas varias fallas [2] en la versión 0.9.13 I2P, parte de Tails 1.1 y anteriores, entre las que se mencionan XSS e inyección de valores de configuración que pueden a llevar a la inclusión de plugins maliciosos con la consecuente ejecución remota de código. En [4] se mencionan las correcciones realizadas por los desarrolladores de la aplicación:

Security fixes:

* Fix several XSS issues.
* Disable change news feed URL from UI.
* Disable plugin install.
* Disable setting unsigned update URL from UI.
* Disable clients.config editing form the UI.
* Add content-security-policy and X-XSS-protection headers.
* Disable unused ExecNamingService.

Estas vulnerabilidades animaron a otros investigadores a analizar con mayor profundidad la seguridad de I2P. En [3] se describe una nueva vulnerabilidad, que consiste en la inyección de una opción de configuración a través de la URL. I2P incluye un servidor WEB ligero que permite administrar la configuración del aplicativo desde el navegador. Un error en la validacón de uno de los parámetros, permite la inclusión arbitraria de opciones de configuración, entre las que se incluye una que permite ejecutar un script arbitrario. De esta manera se puede ejecutar código en la máquina del cliente y por lo tanto descubrir su identidad. En [5] se describen las correcciones realizadas por los desarrolladores.

Se recomienda actualizar a la la última versión disponible de I2P (0.9.15) o utilizar la última versión disponible de Tails (1.2). Debido a éstos últimos problemas de seguridad, los desarrolladores de Tails han decidido desactivar I2P por defecto, solo siendo activado si el usuario lo desea utilizar. Se pone de manifiesto con esto que se requiere una mayor auditoría de seguridad en las herramientas que buscan proteger la privacidad de los usuarios, y la implementación de medidas de contención, como por ejemplo los sandbox [6].

[1] https://tails.boum.org/
[2] http://blog.exodusintel.com/2014/07/23/silverbullets_and_fairytails/
[3] http://www.phenoelit.org/blog/archives/2014/10/11/tldr_just_another_way_to_get_rce_in_i2p_version_0_9_13/index.html
[4] https://geti2p.net/es/blog/post/2014/07/26/0.9.14-Release
[5] https://geti2p.net/es/blog/post/2014/09/20/0.9.15-Release
[6] https://www.mail-archive.com/tails-dev@boum.org/msg06414.html

miércoles, 20 de agosto de 2014

Vulnerabilidad encontrada en Tor

Tor y Tails son dos herramientas desarrolladas para mantener un nivel alto de privacidad mientras se utiliza Internet.  Fueron incluso utilizadas por Snowden para su propia protección, según lo informó el mismo [1]. Se les puede considerar el estado del arte en cuanto a tecnologías anti rastreo. Sin embargo, como todo sistema de cómputo, estas herramientas pensadas para un altísimo estándar de seguridad, tienen también sus propios agujeros. Recientemente se encontraron varias fallas de seguridad importantes, que fueron corregidas por los desarrolladores de los proyectos.

Tal como se describe en la pagina web del proyecto Tor [2], el 4 de julio de 2014 fueron detectados varios relays tratando de descubrir la identidad oculta de los usuarios que enviaban información a través de su red. Los objetivos del ataque eran especialmente los operadores de los hidden services, páginas web que se encuentran protegidas por la red Tor.

La técnica que fue usada por estos relays es conocida como ataque de confirmación de tráfico. Cuando un atacante tiene control sobre el inicio y el fin de un circuito dentro de la red (al fin y al cabo relays administrados por voluntarios) es posible para ellos medir diferentes características del tráfico que circula y obtener estadísticas valiosas a pesar que todo se encuentra cifrado. De esta manera pueden determinar si dos relays están en el mismo circuito. Si el primer relay en el circuito conoce la IP real del usuario y el último relay conoce la destinación de los recursos pedido por el usuario (como la página web a la que quiere acceder), entonces un atacante podría determinar con cierta probabilidad la fuente del tráfico (el usuario real). Este es un problema abierto sin solución efectiva hasta el momento. Sin embargo, si se asume que la mayoría de los relays en la red son benignos la probabilidad de que este ataque tenga éxito para una gran cantidad de usuarios es muy baja.

El tipo de ataque particular que se usó para vulnerar la red Tor utilizó lo explicado anteriormente, con la diferencia que se logró inyectar señales en los paquetes, siendo más efectivo para descubrir la IP real de los usuarios (porque se elimina el factor probabilístico). La idea es que un relay dentro de un circuito inyecte datos en las cabeceras del protocolo de Tor. El relay del otro lado del circuito busca estos datos y así se puede determinar fácilmente si los dos relays hacen parte del mismo circuito. De esta manera los atacantes inyectaban esta señal cuando el relay es usado como directorio de hidden services y buscaban las señal cuando el relay era un punto de entrada. Así se podía encontrar la identidad real de los usuarios que buscaban o publicaban información  sobre los hidden services. Cuando un cliente de Tor se conectaba a uno de estos relays atacantes, para acceder o publicar información sobre los hidden services, el relay inyectaba el nombre del hidden service codificado como un conjunto de paquetes del tipo relay y realy early. Otros relays podía leer esta información y determinar qué usuarios buscaban dichos hidden services y quienes publicaban información sobre ellos. Los Tor relays no deberían permitir el uso arbitrario de estos tipos de paquetes para la codificación de señales que revelan la verdadera identidad de un usuario o un servicio. Adicionalmente los atacantes usaron una técnica conocida como "Sybil attack", por media de la cual se utiliza una gran cantidad de recursos computacionales para suplantar un buen porcentaje de los relays en la red (cerca al 6% en este caso). Así se logra ampliar el impacto del ataque. Un problema adicional es que estas señales podían ser detectados por otras organizaciones como agencias estatales de inteligencia, lo que podría comprometer la privacidad de muchos de los usuarios.

Aun no es completamente claro el origen de este ataque y quién esta detrás del hallazgo de la vulnerabilidad. Sin embargo, es sabido que dos investigadores de Carnegie Mellon [3], quienes se disponían a realizar una presentación al respecto en el congreso de Black Hat 2014 titulada "You don't have to be the NSA to break Tor: de-anonymising users on a budget", podrían ser las personas detrás de los relays. La charla fue cancelada aparentemente por problemas legales [4]. Finalmente los investigadores compartieron parte de la información con los desarrolladores del proyecto Tor, lo que les permitió corregir el bug. Los relays deben actualizarse a la versión 0.2.4.23 ó 0.2.5.6-alpha en las que la vulnerabilidad se encuentra ya corregida, asumiendo que todo los detalles del bug fueron efectivamente informados.

Referencias:

[1] http://www.huffingtonpost.com/2013/07/18/tor-snowden_n_3610370.html

[2] https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

[3] https://img.4plebs.org/boards/pol/image/1404/73/1404736805983.png

[4]  http://www.theguardian.com/technology/2014/jul/22/is-tor-truly-anonymising-conference-cancelled

jueves, 22 de mayo de 2014

Surveillance States: Colombian Chapter

Hace poco participe en el DragonJAR Security Conference 2014, un evento de seguridad "made in Colombia", donde tuve la oportunidad de conocer grandes personas y disfrutar de charlas tremendamente interesantes. Aquí un poco mas de información sobre el evento:

Asi fue el dragonjar security conference 2014 dia i

Asi fue el dragonjar security conference 2014 dia ii

Precisamente en el segundo día fue el turno de mi charla "Surveillance States: Colombian Chapter", de la cual hago una pequeña referencia:

La revelaciones realizadas por Edward Snowden en 2013 terminaron por confirmar el estado de vigilancia en el que se encuentran las comunicaciones a nivel global. Aunque ya era bien conocido el papel que juegan estados como Rusia y China en este tipo de interceptaciones, los alcances revelados de la NSA Estadounidense son alarmantes, llevando casi al rechazo total del derecho fundamental a la privacidad. Colombia no se encuentra aislada de este problema, en los últimos años se han observado numerosos escándalos relacionados con interceptaciones ilegales que al fin y al cabo no son más que violaciones de los derechos humanos. Si añadimos a esto las legislaciones en materia de “inteligencia” que se han ido redactando en los últimos años, el escenario colombiano se presenta bastante complejo.
En esta charla se analiza el estado actual de la vigilancia electrónica en Colombia desde el punto de vista legislativo hasta los detalles técnicos generales. Se describe como estos elementos podrían ser abusados con facilidad. Además se muestra cómo en este emergente escenario de comunicaciones inseguras por legislación es necesario para desarrolladores y expertos en seguridad adoptar las herramientas criptográficas como elementos de uso diario. Finalmente se exponen algunas herramientas que pueden ayudar a preservar la privacidad aun en escenarios altamente vigilados, como por ejemplo la distribución de Linux Tails.

A continuación adjunto la dispositiva completa de mi presentación:

http://www.slideshare.net/kuronosec/djcon-surveillance

Y adicionalmente todo el material de referencia que utilice, entre ellos los contratos publicos que describen los sistemas de vigilancia usados en Colombia, que tambien se pueden encontrar en https://www.contratos.gov.co/ :

Material de referencia

sábado, 26 de abril de 2014

Divx plugin suite heap-based buffer overflow

DirectShowDemuxFilter as part of Divx plugin suite is vulnerable to heap-based buffer overflow, which can be exploited by malicious people to compromise a user's system. The vulnerability is caused due to a signedness error in the processing of "STRF" (Stream Format) chunks. This can be exploited to cause a heap-based buffer overflow via a specially crafted AVI file. Successful exploitation may allow execution of arbitrary code by tricking a user into visiting a malicious website.

DirectShowDemuxFilter is used by DivX Web Player, Divx Player and any application ussing Divx plugins like Windows Media Player (When Divx is installed). I have attached two avi files that trigger the vulnerability, the bug is caused when the offset 0x1159 ("STRF" Stream Format chunk) is altered:

when offset(0x1159) >= 8FFF, then we have the following error report

MSVCR80!memcpy+0x5a:
7814500a f3a5            rep movs dword ptr es:[edi],dword ptr [esi]

First Chance Exception Type: STATUS_ACCESS_VIOLATION (0xC0000005) Exception Sub-Type: Write Access Violation

Stack Trace:

MSVCR80!memcpy+0x5a
DMFContainer+0x146a4
DMFContainer!DSE::FileInspectorInterface::operator=+0x65cf
ntdll!RtlFreeHeapSlowly+0x5c2
MSVCR80!free+0xcd
Instruction Address: 0x000000007814500a

when offset(0x1159) < 8FFF, then we have the following error report

MSVCR80!LeadUpVec+0x52:
7814508e f3a5            rep movs dword ptr es:[edi],dword ptr [esi]

Exception Faulting Address: 0x1899000
First Chance Exception Type: STATUS_ACCESS_VIOLATION (0xC0000005)
Exception Sub-Type: Read Access Violation

Faulting Instruction:7814508e rep movs dword ptr es:[edi],dword ptr [esi]

Stack Trace:
MSVCR80!LeadUpVec+0x52
DirectShowDemuxFilter!DllUnregisterServer+0x20568
DirectShowDemuxFilter+0x223c
DirectShowDemuxFilter!DllUnregisterServer+0x955c
Instruction Address: 0x000000007814508e

These errors indicate that when we introduce a negative sign error we can overwrite regions on heap. When the sign is positive we can still crash the application, if we introduce one value big enough. I tested this bug in Windows 7 with all the patches applied and probably affects other versions.

PoC:


@kuronosec

sábado, 12 de abril de 2014

DragonJar Security Conference


Próximamente participaré como ponente en el DragonJar Security Conference, que se llevará a cabo en la ciudad de Manizales, Colombia, no te pierdas este gran evento:





Las características únicas del DragonJAR Security Conference, como la calidad de sus ponentes, todos de habla hispana, los Trainings (talleres especializados sobre las ultimas temáticas de seguridad informática), los eventos alternativos (como el CTF / concursos) y su puesta en escena, hacen que el DragonJAR Security Conference se convierta en el centro de encuentro para los entusiastas de la seguridad informática en Latinoamérica para el segundo trimestre del 2014.


¿Cuáles serán las temáticas del DragonJAR Security Conference?

Algunas de las temáticas que se tocaran en el DragonJAR Security Conference son:

    • Vulnerabilidades 0-Day
    • Pentesting
    • Seguridad en Redes
    • Ingeniería Social
    • Criptografía
    • Seguridad Física
    • Sistemas de gestión de seguridad de información (ISO 27000)
    • Seguridad Móviles
    • Computación Forense
    • Seguridad en Entornos Industriales
    • Seguridad en La Nube
    • Seguridad en Tecnologías Emergentes
    • Desarrollo Seguro



¿Dónde y Cuándo se realizara el DragonJAR Security Conference?

El DragonJAR Security Conference se realizará en las instalaciones de la Universidad de Manizales y estará dividido en 2 partes:

    • La primera parte corresponde a talleres prácticos que se realizarán del 5 al 7 de Mayo.
    • La segunda parte se realizaran las charlas de la conferencia del 8 al 10 de Mayo.


Listado de talleres

Día 1 - 05 de Mayo de 2014

8:30 — 18:30 De 0 a Ninja en Seguridad Inalámbrica (Hacking Wireless) - Sala 1

8:30 — 18:30 Curso de Ethical Hacking, preparado especialmente para rendir el CEH - Parte 1 - Sala 2


Día 2 - 06 Mayo 2014

8:30 — 18:30 De 0 a Ninja con Kali Linux (Pentesting con Kali) - Sala 1

8:30 — 18:30 Python Para Seguridad - Parte 1. - Sala 2

8:30 — 18:30 Desarrollo seguro usando herramientas OWASP. - Sala 3

8:30 — 18:30 Curso de Ethical Hacking, preparado especialmente para rendir el CEH - Parte 1 - Sala 4


Día 3 - 07 Mayo 2014

8:30 — 18:30 De 0 a Ninja en Seguridad Web (Taller de Seguridad Web) - Sala 1

8:30 — 18:30 Python Para Seguridad - Parte 2 - Sala 2

8:30 — 18:30 - Rocking Metasploit like a pro - Sala 3

8:30 — 18:30 Malware Forensic and Incident Response - Sala 4

8:30 — 18:30 Cloud Computing & Infraestructure Security - Sala 5


Valores de Inversión y formas de Pago

Entrada a los 3 días de CONFERENCIAS: La entrada a las conferencias que se realizaran del 8 al 10 de Mayo tienen un valor de $130.000 pesos Colombianos (Aproximadamente 65USD).
Incluye:
- Memorias
- Refrigerios
-Certificado
- Acceso a plataforma educativa con material de consulta sobre las ponencias.
- 3 días de contenido 100% técnico en seguridad informática
Entrada a los TALLERES: La entrada a los talleres que se realizaran del 5 al 7 de Mayo tienen un valor de $400.000 pesos (Aproximadamente 200USD) para talleres de 1 día (8horas) y $800.000 pesos (Aproximadamente 400USD) para talleres de 2 días (16horas).
Incluye:
- Memorias del Taller
- Refrigerios del Taller
- Certificado del Taller
- Camiseta del Evento
- Entrada al ciclo de
charlas (8 al 10 de Mayo) con todo lo que se incluye en ellas.
 
Los ponentes que nos acompañarán el DragonJAR Security Conference 2014 son:

Andrés Gómez – Colombiano que nos visita desde Alemania
Andrés Gómez es ingeniero de sistemas de la Universidad de Antioquia. Trabajó cómo analista de seguridad en la empresa Fluidsignal Group. Actualmente se encuentra iniciando estudios de doctorado en informática en la universidad Goethe de Frankfurt en temas relacionados con seguridad informática e inteligencia artificial, además trabaja en la administración del HLT del experimento ALICE en el CERN (Organización Europea para la Investigación Nuclear). Es miembro del Chaos Computer Club (Frankfurt am Main) y colabora como desarrollador en la distribución de Linux orientada a la seguridad Tails, parte del proyecto Tor.
Camilo Galdos – Perú
Camilo Galdos programador, security researcher y bug hunter, a sus 20 años tiene más de 4 años de experiencia como pentester profesional, a los 14 escribió su primer exploit, el cual publicó su actual blog SeguridadBlanca, participó como moderador en Seguridad Web de la comunidad DragonJAR, ha expuesto en eventos en su país como el LimaHack, PeruHack y en eventos internacionales como son Owasp Latam Tour y Campus Party. Actualmente se encuentra listado en los salones de la fama de Twitter, Ebay, Paypal, Microsoft, Apple, entre otros; Por reportar diferentes fallos de Seguridad, camilo también ha desarrollado diferentes herramientas de Pentesting en diferentes lenguajes incluidos PHP, Python y JavaScript.

Cristian Amicelli Rivero – Argentina
Es Especialista de Seguridad IT, Instructor de Seguridad Informática, Ethical Hacker, Pentester, Investigador de malware y Nerd con toda la pasión. Con más de 10 años de experiencia en el ámbito de la informática, desarrollo de aplicaciones, Análisis de Seguridad e investigaciones de Delitos Tecnológicos y Pericias Informáticas siendo gran parte de esos años en el área de Inteligencia Informática. Realizó distintas capacitaciones en Programación en variados lenguajes, Administración y Seguridad de Sistemas Operativos (Linux, Windows), Ethical Hacker, otras capacitaciones realizadas son Operador de Radares y Dactiloscopia Forense, etc.
Actualmente forma parte del equipo de Mkit Argentina, es miembro de OWASP Latam, tiene gran pasión por la Seguridad y la criptografía, viendo siempre las cosas desde otra perspectiva en búsqueda de ir siempre más allá de los límites de los sistemas, lo que le permite compartir experiencias y conocimientos en el ámbito de la seguridad.

Freddy Grey – Chile
Investigador de 0rnitorrinco LAB, Consultor Senior de Seguridad TI, Miembro del Comité directivo de ISACA e ISC2 Chile, Miembro del comité académico de Segurinfo Chile, Licenciado en Sistemas de Información y Control de Gestión, Contador Público Auditor, Programador y Electrónico, cuenta con las siguientes certificaciones de seguridad y TI vigentes: C|CISO – CISSP – CISM – CISA – CEH – ECSA – LA27001 – ITIL – Cobit5. Posee más de 16 años de experiencia en el mundo de las Tecnologías de la Información, hace más de 11 años en el mercado de la seguridad de la información y gestión de riesgos de TI; Destacando el diseño, análisis y diagnóstico de seguridad de soluciones de tecnologías informáticas y de comunicaciones para empresas del sector público y privado en latino américa y el caribe. Relator invitado a diferentes conferencias y seminarios como: 8.8 Computer Security Conference Chile, Congreso Segurinfo Chile, Seminario de Fraude Informático en Universidad Andrés Bello de Chile, Seminario de Continuidad del Negocio por BCI (Business Continuity Institute) y Seminario de Riesgos Tecnológicos en Universidad de los Lagos de Chile, entre otros.

Marc Rivero López – España
Marc Rivero López trabaja como analista de ecrime y researcher en una empresa de seguridad. Su principal cometido es la realización de informes de inteligencia de temas relacionados con la seguridad, análisis de malware, I+D en tecnologías ofensivas/defensivas en internet y fraude electrónico. Ha formado parte de un reconocido equipo antifraude, implementa medidas de protección y prevención del fraude en un destacado cliente dentro del sector bancario. Ha sido ponente en conferencias como No cON Name, Owasp, ViLaNet, Navaja Negra, HighSec, RECSI y es colaborador habitual en distintas publicaciones del sector como DragonJAR, Security by Default, Flu-Project….

Mateo Martínez – Uruguay
Es un profesional certificado CISSP, ITIL, PCI QSA y MCP con experiencia en el mercado de TI y Seguridad de la Información desde el año 2001. Cuenta con experiencia internacional habiendo ejecutado proyectos de Seguridad de la Información y Planes de Continuidad del Negocio en diversas ciudades como Chicago, Dubai y en la mayoría de las principales ciudades de Latinoamérica. Se ha desempeñado como consultor y como gerente de seguridad en empresas internacionales y actualmente es consultor en Seguridad de la Información en McAfee Foundstone Professional Services.

Nelson Boris Murillo Prieto – Bolivia
Pentester, Ingeniero de Sistemas, Oficial de Seguridad con más de siete años de experiencia dedicados al área de seguridad de la información en empresas de consultoría y banca, cuenta con experiencia en el desarrollo de trabajos de ethical hacking, auditoria, gestión y gobierno de seguridad de la información, recolección y análisis de medios en investigación forense, facilitado en eventos y en capacitaciones de Ethical Hacking y seguridad de la información.

Certificaciones: OSCP Offensive Security Certified Professional, C|EH Certified Ethical Hacker, TCNA Tenable Certified Nessus Auditor, ACE AccessData Certified Examiner

Oscar Leonardo Banchiero – Argentina
Oscar Leonardo Banchiero (CEH/CCNP Security/UCAD, entre otras), es arquitecto de IT especializado en redes y seguridad informática, posee 15 años de experiencia en la implementación y auditoría de infraestructuras y de seguridad. Desempeña sus tareas en Telefónica Argentina, cumpliendo sus funciones con la seguridad informática y administración de redes, en grandes empresas. Es orador nacional y en el exterior (Sudamérica y América Central) sobre seguridad de la información, así como también es Instructor de cursos como Ethical Hacking, Android Security y Wireless Security. Autor de artículos relacionados con la seguridad, white papers y documentos de investigación.


Por Colombia los Speakers que nos acompañarán son:

Efrén A. Sánchez Javela
Socio Fundador y Gerente de la empresa DEFERO S.A.S., con 17 años de experiencia en temáticas relacionadas con Infraestructura y Sistemas de Información, Análisis Forense Digital, Hacking Ético, Sistemas de Gestión de Seguridad de la Información, Auditoria de Sistemas. Ex KPMG, Conferencista en eventos de seguridad informática (Barcamp – Medellín, Seminario Nacional de Informática y Control Tema “Seguridad Informática” – Tunja – Boyacá; 5to Congreso Prevención de Fraude y Seguridad – Asobancaria – IV Encuentro de Delitos Informáticos, Seguridad Informática y Hacking Ético – Cali – I Seminario de Infraestructuras Criticas Organizado por la OEA – Bogotá). Realiza consultorías a diferentes Entidades del Gobierno y Privadas. Director Ejecutivo de la Corporación Hacklab. Miembro Fundador del Capítulo Isaca Medellín – En Formación.

Victoria Pérez
Ingeniera de sistemas con enfoque en sistemas de información, con certificación CEH v7 de ec-council, y certificación de Auditor Interno en ISO 27001:2005 de SGS Colombia. Experiencia en Seguridad Física e integración de Sistemas de Gestión.



Leonardo Huertas Calles
Actualmente se desempeña como CSA – Chief Security Ambassador de Eleven Paths, dedicó 20 años de su vida a trabajar para el Gobierno Colombiano, concretamente en el Ministerio de Defensa Nacional donde se desempeñó como Asesor de Ciberseguridad y Ciberdefensa. Fue el responsable de asesorar técnicamente la “Política Nacional de Ciberseguridad y Ciberdefensa – CONPES 3701″, y posteriormente se encargó de diseñar e implementar el Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT, donde finalizó su carrera en el Gobierno como coordinador del grupo.

Formó parte de misiones técnicas de la OEA para asesorar en la creación de los Centros Nacionales de Respuesta a Incidentes Cibernéticos, fué condecorado con la Medalla Militar “Ministerio de Defensa Nacional” en la Categoría única “Servicios Distinguidos”; se ha desempeñado como profesor universitario e instructor en Diplomados. Actual escritor de el “Blog de SamuraiBlanco” y moderador global de la Comunidad de Seguridad DragonJAR.

Juan David Castro
Joven Entusiasta, Estudiante de Ingeniería de Sistemas, Dedicado a SEO y Seguridad Web A, Actualmente cuenta con Hall Of Fame Microsoft / Adobe / Twitter/ Dropbox / Owncloud y otros servicios más.

Jhon Cesar Arango
Ingeniero de Sistemas, Especialista en Telecomunicaciones de la Universidad Autónoma de Bucaramanga, Especialista en Finanzas de la Universidad de EAFIT , Actualmente asesora y audita diferentes empresas de Colombia y Sur América a través de la firma IT Forensic SAS en el tema de la Seguridad de Redes e Informática, dirige el proyecto “The Hacking Day (www.thehackingday.com)” y el blog blog.thechackingday.com está desarrollando un Libro titulado el “Atacante Informático”, del cual se entrega de forma gratuita a través de la página www.itforensic-la.com/descargas_rv.html y listas reconocidas de seguridad, cofundador integrante organizador del Evento internacional Ack Security Conference www.acksecuritycon.com . Conferencista en seguridad informática en eventos como EKOParty (Buenos Aires), Ethical Hacker Conference (Bolivia), eSecurity Conference (Guayaquil), EISI I II III IV (Manizales), CCBOL (Bolivia), EjeCon 2012 y 2013 (Pereira), ESET Security Day Colombia, CSI 2013, FIAFI(Bolivia) y otros eventos sobre seguridad nacionales e internacionales.

Carlos Mesa
Carlos Mesa es Ingeniero de Sistemas y Telecomunicaciones, fundador y director de la comunidad Bitcoin en Colombia, creyente de las cripto-monedas y ansioso por un futuro con libertad de mercados.

Juan Jacobo Tibaquirá
Ingeniero de Sistemas y Telecomunicaciones con especialidad en Sistemas de Información Geográfica Universidad de Manizales, ha sido un Ingeniero, Desarrollador y Administrador, en el campo de la tecnología de la información durante más de 5 años además de ser instructor con gran experiencia en equipos de desarrollo. Miembro de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. Ha sido Speaker en diferentes eventos de Seguridad (Tech Day Sun Microsystems Sao Pablo – Brasil, Campus Party Colombia, XVIII Congreso Nacional de Estudiantes de Ingeniería de Sistemas CNEIS Barranquilla – Colombia, Seminario de Seguridad Informática, Popayán, entre muchos otros)

Jaime Andrés Restrepo
Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Consultor Independiente de Seguridad Informática con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense Digital. Está actualmente certificado como C|EH, Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática más grandes de habla hispana y referente en el sector. Ha sido Speaker en diferentes eventos de Seguridad (EKO Party en Argentina, iSummit en Ecuador, 8.8 en Chile, INFOTEK Perú, BSidesPR en Puerto Rico, GuadalajaraCON en México, HubCON en Paraguay, OWASP Latam Tour en Lima, Campus Party México y Colombia, Encuentro Internacional de Seguridad informática, Congreso de Hacking Ético, SegurINFO, entre muchos otros) y además es co-fundador del Encuentro Internacional de Seguridad informática y el ACK Security Conference.

Carlos Mario Penagos Ingeniero de Sistemas de la Universidad Del Norte de Barranquilla, con Tesis laureada en criptografía de curva elíptica con el trabajo Implementación eficiente de algoritmos criptográficos usando curvas de Koblitz, experto en desarrollo de exploits, seguridad SCADA, análisis de malware y criptografía. Actualmente es cofundador y CEO de Synapse-labs.com con sede en Algeria y Egipto, se ha desempeñado como consultor y Ethical Hacker en Australia, Algeria, Egipto y Ecuador para el sector público y privado, es investigador para US-CERT y ICS-CERT del gobierno de los estados Unidos, Le encantan las matemáticas (teoría de códigos, teoría de números, criptografía de curva elíptica e hipereliptica) y el ajedrez japonés Shogi.

domingo, 30 de marzo de 2014

El uso de Bitcoin en Colombia



La superintendencia financiera de Colombia en su CARTA CIRCULAR 29 DE 2014 [1], lanza varias advertencias con respecto al uso de Bitcoin en Colombia. A continuación realizo un análisis del documento:

El documento afirma: 
" Las monedas virtuales no se encuentran respaldadas por activos físicos, por un banco central, ni los activos o reservas de dicha autoridad, por lo que el valor de intercambio de las mismas podría reducirse drásticamente e incluso llegar a cero. Por lo anterior, las personas se exponen a altas volatilidades en el precio del instrumento, dada la amplia especulación que se mantiene". 
 
Ninguna moneda moderna se encuentra respaldada por activos físicos. Hace más de medio siglo las reservas de oro soportaban los activos de moneda de un país (suponiendo que el valor del oro no es igual de subjetivo). Sin embargo, hoy en día el valor del dinero se mide en deuda, la cantidad de dinero que deben las personas y la probabilidad de que paguen o no. Todo valor monetario se basa en la percepción de las personas y su nivel de confianza en el sistema. Uno muy bien podría transar con bananos, manzanas o mangos si se dispone de la suficiente confianza en estos medios. Así mismo todas las monedas tienen riesgo de volatilidad y que se su valor llegue a cero (¿Recordamos acaso lo que paso con la crisis mundial de 2008 y lo que pasa con el Bolivar en Venezuela?). Bitcoin es igual en este sentido, la moneda virtual tendrá el valor que las personas le asignan, con una diferencia, no existen entidades centrales ni grandes corporaciones privadas que puedan alterar arbitrariamente su valor, todo se autorregula dependiendo del mercado.

Por otro lado el documento continua:
"Ninguna de las plataformas transaccionales, ni comercializadores de las “monedas virtuales" como el Bitcoin se encuentran reguladas por la ley colombiana. Tampoco se encuentran sujetas al control, vigilancia o inspección de esta Superintendencia. Por lo anterior, tales plataformas pueden no contar con estándares o procesos seguros y de mitigación de riesgos, por lo que con regularidad presentan fallas que llevan a que los usuarios de las mismas incurran en pérdidas. Un ejemplo de lo anterior, se evidencia con MT. Gox, una de las plataformas transaccionales conocidas de moneda virtual, que cerró recientemente, generando grandes pérdidas a los usuarios."

MT. Gox o cualquier entidad de intercambio de Bitcoins por dolares no son lo mismo que Bitcoin. Son entidades que utilizan la moneda virtual para su modelo de negocio y como todas tienen riesgos. Realizar compras por internet con tarjetas de crédito válidas tienen exactamente el mismo riesgo. Una persona siempre está expuesta a recibir algo por debajo de sus expectativas o no recibir absolutamente nada. Y la superintendencia tiene exactamente las mismas limitaciones para regular sobre una tienda virtual fuera de Colombia. Además, todas las personas están expuestas al robo de su dinero, ya sea físico o digital.

Otro aparte:
" Las transacciones en las plataformas son anónimas, por lo que el uso de “monedas virtuales” se puede prestar para adelantar actividades ilícitas o fraudulentas, incluso para captaciones no autorizadas de recursos, lavado de dinero y financiación del terrorismo. De acuerdo con información pública divulgada en los medios de comunicación, algunos administradores de plataformas transaccionales y de portales de venta de mercancía que vienen utilizando “monedas virtuales” como medio de pago de operaciones han sido acusados por conductas relacionadas con el uso que se le ha dado a estos instrumentos. Los compradores o vendedores de “monedas virtuales” se exponen a riesgos operativos, principalmente a que las billeteras digitales sean robadas (hackeadas), tal como ya ha ocurrido; y a que las transacciones no autorizadas o incorrectas no puedan ser reversadas."

¿Alguien quiere hacer el ejercicio de aplicar todas las afirmaciones anteriores al peso colombiano, cualquier otra moneda o medio de pago virtual, y decir si encuentra una sola diferencia? Las monedas "aceptadas" se han prestado, prestan y prestarán para actividades ilícitas y fraudulentas, lavado de activos, financiación del terrorismo, etc. Así mismo cualquier entidad "avalada" puede ser víctima de un ataque informático. ¿Cuantas personas en Colombia fueron víctimas de delitos informáticos por el uso de tarjetas de crédito? Más de una si me preguntan. Lamentablemente pasa lo mismo con Bitcoin, así como en cualquier organización y sistema detrás de los cuales haya personas y activos que tengan un valor para alguien. Bitcoin es una obra de ingeniería que utiliza los últimos adelantos en criptografía para proveer a las personas de un medio para realizar transacciones comerciales descentralizadas, sin la necesidad de un intermediario o entidad central. Como tal no pretende resolver todos los problemas de criminalidad que atacan cualquier medio de intercambio económico, simplemente porque estos persistirán mientras detrás de ellos hallan seres humanos.

En conclusión, la CIRCULAR 29 DE 2014 es un escrito sesgado y desinformado, que no aporta nada a los ciudadanos Colombianos, simplemente pretende generar miedo sobre tecnologías emergentes, con argumentos completamente absurdos. Mientras otros países aprenden a utilizar estas nuevas tecnologías para traer beneficios a sus ciudadanos, nuestras instituciones y gobierno aun se mantienen en la época de la inquisición.
Kurono.