Compilado de enlaces

Hola a todos!

Este es otro de los ya famosos compilados de enlaces.

Un abrazo grande!
Pedro

Compilado de enlaces

Estimado usuario,

Comunicamos a usted que esto es un comunicado de enlaces.

Atentamente,
Pedro

MITMProxy, Kraken y identificación

¡Hola a todos!

Hace poco comenté que Kraken, un bitcoin exchange, ofrecía un Bug Bounty. En la búsqueda de fallos, me encontré que el API de Kraken tiene un medio de identificación bastante poco estándar.

Está descrito acá, pero les dejo un poco de código, en python y usando mitmproxy, que sirve para manejar eso de manera automática. Para hacer funcionar esto, ejecutar este script (potencialmente cambinado el puerto para evitar conflictos), y luego configurar ZAP o Burp para que utilizen el proxy como “parent proxy”.

También, importante instalar mitmproxy (pip install mitmproxy).


#!/usr/bin/env python

"""
This MITM proxy example grabs a request that comes through and analyzes the
data, creates a valid HMAC-SHA512 signature and puts those into the headers, as
required by kraken, the bitcoin exchange in it's API.

Be sure to change the contents of key and secret.
"""
from libmproxy import controller, proxy
import os
import re
import time
import hashlib
import hmac
import base64

key = ""
secret = ""

class StickyMaster(controller.Master):
    def __init__(self, server):
        controller.Master.__init__(self, server)
        self.stickyhosts = {}

    def run(self):
        try:
            return controller.Master.run(self)
        except KeyboardInterrupt:
            self.shutdown()

    def handle_request(self, msg):
        # strip nonce
        new_content = re.sub("nonce=.*?&", "", msg.content)
        nonce = int(1000*time.time())
        new_content += "&nonce=" + str(nonce)

        msg.content = new_content

        new_headers = self.headers_signature(msg.path, new_content, nonce)

        msg.headers["API-Key"] = [new_headers["API-Key"]]
        msg.headers["API-Sign"] = [new_headers["API-Sign"]]
        print msg.headers

        msg.reply()


    def headers_signature(self, request_path, postdata, nonce):
        headers = {}

        message = request_path + hashlib.sha256(str(nonce) +
            postdata).digest()
        signature = hmac.new(base64.b64decode(secret),
            message, hashlib.sha512)

        headers['API-Key'] = key
        headers['API-Sign'] = base64.b64encode(signature.digest())

        return headers


config = proxy.ProxyConfig(
    cacert = os.path.expanduser("~/.mitmproxy/mitmproxy-ca.pem")
)
server = proxy.ProxyServer(config, 8080)
m = StickyMaster(server)
m.run()


 

Bitcoin + Responsible Disclosure = Security

En castellano, mas abajo.

This page lists Bitcoin websites that incentivize responsible disclosure by offering a financial reward to researchers that disclose vulnerabilities to them. This is considered to be the best practice in the security industry and, given a reasonably high incentive and time, proves a reasonable degree of security.

Same in Spanish: Esta página contiene un listado de sitios web, relacionados con Bitcoin, que incentivan económicamente la revelación responsable de fallos de seguridad. Esto es considerado la norma en la industria de la seguridad informática y, dado suficiente tiempo y un incentivo razonable, garantiza un nivel aceptable de seguridad.

Company / Compañía
Reward noted / Recompenza
Coinbase $1000 min.
Vault of Satoshi $1000 (BTC)
QuickBT 1 BTC
Crowdcurity $1000 min. (BTC)
BitMe $1000 (BTC)
CoinDrawer No min. No max.
CoinKite 0.25 BTC min.

It is the authors’ intent to keep the table updated and useful. Please use the form below to get in touch with me.

Same in Spanish: Es mi intención mantener esta tabla al día, cualquier cosa me podés contactar usando el formulario de abajo.

Donations: 1Fayym77z2NTUotDkyyB6XqUmRNwbT7mDj

Changes to the table / Cambios:

Bitcoins y Mt. Gox.

Mt. Gox, una compañía japonesa que se dedicaba a intercambiar bitcoin por dólares, yenes y euros, se declaró en bancarrota hace un par de días.

Esto llevó a una tormenta de artículos declarando el fin de bitcoin por 5ta vez en su historia. “Bitcoin esta en quiebra”, “El presidente de la corporación detrás de bitcoin se robó todos los fondos”, declaran los diarios.

No es que la comunidad de bitcoin no haya pasado por esto antes: en la “burbuja” del 2011, cuando el precio llegó a precios impensables y luego pasó a valer mucho menos, o en la burbuja del 2013, donde cada bitcoin llegó a valer $1200 y luego llegó a $700.

Los precios suben y bajan hasta tal punto que la crítica dice que jamás sería posible que bitcoin sea un medio de intercambio de valores viable debido a su estabilidad. Si hoy compro una televisión, y luego la moneda que usé vale 10.000 veces mas, dicen, esto va a causar que la gente deje de consumir cosas.

Por otra parte, se han visto numerosos artículos en la prensa, que indican que desafortunadamente, el fin de bitcoin llegó. Por quinta vez, esto indica una grave carencia por parte de los medios a la hora de cultivar fuentes, y, mas importantemente, entender nociones básicas sobre bitcoin.

Intentar ver el futuro de bitcoin es, en mi opinión bastante dificil. Sin embargo, quisiera agregar dos párrafos a la conversación.

Respecto al valor de bitcoin como moneda de intercambio, sin llegar a hacer una analogía muy complicada, uno podría decir que de la misma manera nadie compraría jamás una computadora, pues no tiene sentido comprar una computadora hoy si mañana me podría comprar una computadora mucho mas potente y mucho mas pequeña.

Uno compra una computadora porque necesita leer su correo electrónico y jugar juegos. En mi opinión, uno va a gastar sus bitcoin porque tiene hambre y tiene que pagar el alquiler.

Quisiera agregar también, que bitcoin no es una compañía, ni tampoco una simple moneda especulativa. El protocolo de bitcoin es un avance criptográfico que permite resolver el problema de los dos generales, y tiene muchísimas aplicaciones mas allá de ser un medio de intercambio de valores que no puede ser interferido, inflado y desinflado artificialmente al beneficio de diversas entidades.

Aunque bitcoin fallase, aún no podemos imaginarnos las implicaciones que trae el protocolo, de la misma manera que no podíamos imaginarnos de que manera el Internet iba a impactar nuestra vida hace 20 años.

Compilado de enlaces

你好!

那是un compilado de enlaces:

再见!!!
Pedro

Compilado de enlaces

Ho la a to dos.

Es te es un com pi la do de en la ces.

Un ab ra zo.
Pe dro

Liberty Reserve: ¿Con qué derecho?

Tras bastante revuelo, se puede obtener una lista de todos los dominios clausurados por la justicia de los EEUU: Una lista de 35 dominios, de varios servicios legítimos (hasta que se demuestre lo contrario) que negociaban con LR.

Liberty Reserve, en si misma, era una compañía global basada en Costa Rica: Si bien sus servicios llegaban a EEUU, también llegaban a Rusia, Argentina, Australia y China.

Bastantes puntos sobre esta acción son polémicos: por ejemplo, un punto cuestionable es el hecho de que los dominios hayan sido forzosamente clausurados apelando a la clausula 18 USC § 982 (Criminal Forfeiture).

Aunque uno ignorase el hecho de que la jurisdicción de EEUU no aplica a Costa Rica, ni a Panamá, ni a Ucrania, donde algunos de los servicios eran prestados, los individuos son considerados inocentes hasta demostrarse lo contrario, tal como es mencionado en el documento utilizado para presentar los cargos [1]:

Los cargos presentados en este documento son meramente acusaciones y los acusados son presumidos inocentes hasta que, en el caso que suceda, sean probados culpables.

En vista de que son ciudadanos extranjeros, inocentes, se hace difícil justificar el arrebato de su propiedad privada. La razón por la cual la jurisdicción aplica a los extranjeros es que el TLD .com, que es controlado y regulado por VeriSign, da a la justicia norteamericana el poder de “cerrar” sitios web, aunque aún son accesibles por diversidad de otros medios.

Este acto genera preocupación a varias partes, como por ejemplo a la comunidad las monedas criptográficas [2] y a la comunidad informática en general [3], y podría decirse que con buen motivo. Un análisis legal de los hechos, disponible aquí, concluye que:

Estas acciones y las nuevas guías para las monedas virtuales de la FinCEN indican que el gobierno esta comenzando a prestarle atención a leyes viejas, ampliamente aplicables y dificiles de interpretar para los negocios que manejan “monedas virtuales”.

La comunidad de bitcoins, por ejemplo, sugiere migrar a dominios .to (de un país llamado Tonga, en el sudeste asiático), o dominios .is, de Islandia, que se declara a si mismo como “uno de los TLD mas seguros del mundo”.

Perfect money, uno de los servicios alternativos a Liberty Reserve, agregó un nuevo dominio .is, y declaró que fue para “mejorar su branding”. Esta misma compañía, hace un par de semanas dijo también que iba a dejar de prestar servicio a usuarios norteamericanos.

Liberty Reserve: el presente y el futuro.

Hemos hablado previamente sobre Liberty Reserve, un sitio web para el intercambio de dinero clausurado por el Gobierno de Estados Unidos, presuntamente por lavado de dinero, hace un par de días.

Este tema es de interés por acusaciones de que el mercado se utilizaba para el lavado de dinero, y en general para el intercambio de dinero entre servicios ilegales de todo tipo, como robo de tarjetas de crédito, ransomware y venta de armas y drogas.

Es difícil de demostrar el párrafo anterior con fuentes verificables porque no hay mucha información respecto al tema en el Internet accesible al público.

Pasado el arresto de los empresarios detrás de Liberty Reserve, los agentes del FBI de EEUU no salen de las noticias: varios sitios afiliados con LR también han sido clausurados: wm-center ecardone.

También hay rumores, que indican que las credenciales almacenadas en los servidores de Liberty Reserve estan siendo utilizadas para robar los fondos de los usuarios en otros servicios, aprovechándose de la tendencia de los usuarios de repetir usuarios y contraseñas.

Aparentemente, no hay información respecto a los autores de este ataque [1]:

Hold security esta trabajando para intentar identificar a los atacantes pero, en este momento, no hay ningún dato definitivo ni atribución a una persona o grupo en particular. Mientras que los ataques provienen de China, no hay información concluyente que los hackers esten radicados ahí.

La economía underground de la red comienza a adaptarse al cambio, aparentemente decidiendo migrar hacia WebMoney. Otras posibilidades que se esta tomando en consideración, aparentemente son las Bitcoins, Perfect Money, Paymer y otros servicios de pago.

Si hay algo que es claro, es que el FBI no terminó aún con los arrestos, y cualquiera de estos servicios podría ser el próximo blanco de una investigación, con la excepción de uno: Los bitcoins son un protocolo P2P, lo que podría potencialmente oponer significativa resistencia a los intentos de regulación [2].

Los intentos exitosos, simplemente forzarían a los criminales a migrar a otras monedas criptográficas. Teniendo en cuenta que Liberty Reserve funcionó por 6 años previo a su cierre, potencialmente podría ser un problema para los funcionarios públicos a cargo de la situación.

“Liberty reserve”, la moneda virtual, clausurada por EEUU.

Luego de varios días de suspenso y dudas, se confirman las sospechas de que el sistema de pagos llamado Liberty Reserve, una compañía de Costa Rica, fue clausurado y sus dueños arrestados por “Lavado de dinero”, bajo la autoridad de la corte “U.S. District Court for the Southern District of New York”, en EEUU.

Liberty Reserve es una compañía, no muy distinta a Paypal, que permite transacciones entre usuarios, y que cuya principal diferencia con el previamente mencionado es que las transferencias de Liberty Reserve son irreversibles[1], dando cierta tranquilidad a los vendedores y permitiendo transacciones en mercados mas diversos. Además, LR provee un cierto nivel de anonimato, lo que fue aprovechado en el pasado para comerciar con tarjetas de crédito robadas [2], entre otras cosas.

Los fundadores, ex ciudadanos de EEUU, ahora ciudadanos de Costa Rica exclusivamente, son acusados de lavado de dinero, pero aún no han sido extraditados ya que EEUU no tiene un convenio con Costa Rica para facilitar el proceso. Uno de los fundadores, es también acusado de haberse casado para obtener la ciudadanía, pagando a su esposa $ 800.000 para que se casase con él.

Mucha gente compara LR con Bitcoin, la moneda P2P, pero es importante reconocer la diferencia: LR es comparable con un sitio web que nos permite descargar archivos, mientras que Bitcoin sería comparable con BitTorrent, un protocolo descentralizado[3].