Security Conferences means Business

[Español] Hoy en día existen multitud de conferencias de seguridad por todo el mundo y seguramente el lector participa en una o varias al año, todos tenemos algunas fijas 😉 Todos los congresos siempre buscan los mejores ponentes pero es interesante analizar qué ofrecen estasconferencias al ponente y esto es lo que hemos hecho para este post.

[English] Today there are a lot of security conferences around the world and the reader will surely attend one or more a year, some of them are even a must 😉 All conferences are always seeking the best speakers but it is interesting to analyze what these conferences offer the speakers and this is what we have done for this post.

Para este pequeño ejercicio de análisis hemos seleccionado 19 conferencias, unas conocidas y otras no tanto, basándonos en los siguientes criterios:

  • Son conferencias que he asistido como ponente o asistente, participado en la organización o simplemente oído hablar de ellas
  • La recogida de información está basada en el CFP de este año (2011) o del año anterior (2010) (exceptuando una de ellas que no tiene CFP)

For this little analysis exercise we have selected 19 conferences, some well-known and others not so much, based on the following criteria:

  • Conferences that I have attended as a speaker or attendee, participated in the organization or simply heard of them
  • The gathering of information is based on the CFP of this year (2011) or the previous year (2010) (except one of them that has no CFP)

Con esta información hemos analizado lo que ofrecen al ponente y desde luego que los resultados son variopintos:

  • La mayoría de conferencias paga hotel y suele ser un máximo de 3 noches
  • También la mayoría se hace cargo del transporte pero el precio del billete varía y siempre hay un límite
  • Sólo tres conferencias además pagan un honorario (Blackhat, Defcon y Syscan)
  • Dos conocidos congresos no cubren nada (RSA y OWASP)
  • Algunos de ellos, incluso con cierto renombre, proporcionan poca o ninguna información sobre los beneficios del ponente
  • Otros beneficios que algunos congresos ofrecen son fiesta, cenas, barra libre y/o visitas guiadas
  • La organización es bastante variada. Algunas tienen un acento corporativo (RSA, Infiltrate) y otras se presentan sin ánimo de lucro (Brucon, ToorCon) o son organizadas por colectivos hacker

With this information we have analyzed what they offer to the speaker and the results are quite varied:

  • Most conferences pay hotel, usually a maximum of 3 nights
  • Also most pay travel but the ticket price varies and there is always a limit
  • Only three conferences also pay a honorarium (Blackhat, Defcon and Syscan)
  • Two well-known conferences do not cover anything (RSA and OWASP)
  • Some of them, even with some renown, provide little or no information on the benefits of the speaker
  • Other benefits offered by some conferences are party, dinner, open bar and/or tours
  • The organization is quite varied. Some have a corporate accent (RSA, Infiltrate) and others are non-profit (Brucon, ToorCon) or are organized by hacker groups.

En mi experiencia, como fundador original de un congreso de seguridad en España, los congresos que realmente quieren triunfar necesitan profesionalizarse y tomárselo como un negocio, no necesariamente para ganar dinero pero sí para cubrir gastos y ofrecer una buena experiencia tanto a los ponentes como a los asistentes.

In my experience, as the original founder of a security conference Spain, conferences which really want to succeed need to professionalize it and treat it like a business, not necessarily to profit but to cover expenses and provide a good experience for both speakers and attendees.

Desde luego algunas conferencias tienen claro que esto es un negocio y así lo demuestran ofreciendo varios beneficios al ponente, por ejemplo pagar un honorario. Lógicamente ningún ponente se hará rico y creo que no es el objetivo de ningún ponente pero para unas cañas siempre da 😉

Some conferences have it very clear that this is a business and they do demonstrate by offering several benefits to the speaker, for example an honorarium fee. Of course no speaker will become rich and I think this is not the goal of any speaker anyways but for sure they can buy a few pints of beer 😉

Algunas conferencias con cierta buena reputación consiguen magníficos ponentes a pesar de no ofrecer ningún beneficio económico y eso que en muchos casos tienen sponsors o respaldo económico para cubrir gastos del ponente. Estas conferencias no facilitan que los ponentes sin respaldo económico de una organización puedan participar y tienden a repetir los ponentes de forma asidua. En algunos congresos podríamos hablar de falta de sangre nueva.

Even some of these conferences with a good reputation achieve excellent speakers despite not offering any economic benefits and in many cases they have sponsors or financial support to cover costs of the speakers. These conferences do not make easy for speakers without the financial backing of an organization to participate so conferences tend to repeat the speakers on a regular basis. In some conferences we could start talking about the lack of new blood.

EL máximo ejemplo de éxito es Blackhat, uno de los congresos más famosos y profesionalizado aunque no era así al principio, que su fundador vendió en el 2005 por 10 millones de dólares a CMP Media.

The best example of success is Blackhat, one of the most famous conferences and professionalized around although it was not at first, which its founder sold in 2005 for 10 million dollars to CMP Media.

Por otro lado como ponente en varios congresos, en los que algunos se me cubrían gastos y en otros no, he participado en ellos por varias razones y creo que muchos ponentes pensarán de la misma forma:

  • Por invitación del congreso
  • Social: ver a los amigos
  • Carrera Profesional: la posibilidad de hacer contactos, “networking”
  • Reputación del congreso

On the other hand as a speaker at several conferences, which some did cover costs and others didn’t, I have participated in them for several reasons and I think many speakers would think the same way:

  • By invitation of the conference
  • Social: to catch up with friends
  • Professional career: the possibility of making contacts, “networking”
  • Conference reputation

Tanto organizador como ponente yo me tomo cualquier congreso como un negocio y busco que sea una relación ganadora para todos (Win-Win), y a mi entender cualquier congreso como mínimo debería cubrir gastos (hotel, viaje y comida) de los ponentes.

Both as organizer and speaker I treat any conference as a business and I’m looking for a winning relationship for all (Win-Win), and in my opinion any conference at least should cover expenses (hotel, travel and food) of the speaker.

Hoy en día existen posiblemente demasiados congresos, muchos más de los que hemos analizado aquí, y aunque algunos tienen éxito la mayoría tienen dificultades para sobrevivir, por eso son necesarias la profesionalización y la innovación. Solo así se podrán conseguir buenos ponentes y sponsors y el éxito ya vendrá por sí solo.

Today there are possibly too many conferences, many more of which we have analyzed here, and although some are quite successful most struggle to survive, so they need to be professional and innovate. Only this way they can get good speakers and sponsors, and success will come by itself.

Si organizas un congreso y quieres tener éxito ya sabes, innovar o morir 🙂

Aquí podrás encontrar la hoja Excel que hemos utilizado para el análisis. Si eres organizador de algún congreso de los analizados y quieres añadir/cambiar información o quieres incluir uno nuevo no dudes en ponerte en contacto, por favor.

Qué congresos te gustan y por qué?

If you organize a conference and want to succeed, you must innovate or die 🙂

Here you will find the Excel sheet we used for the analysis. If you are organizing any of the  conferences analyzed and want to add/change information or just want to include a new one please do not hesitate to get in touch with us.

What conferences do you like and why?

 — Simon Roses Femerling

Posted in Business, Conference, Security | Tagged , , | Leave a comment

Zeus on the Loose

[Español] Muchos conocerán a Zeus como el padre de los dioses en la mitología griega, pero Zeus también es un conocido malware con interesantes características. Se estima que este botnet es uno de los más activos con millones de infecciones por todo el mundo y que se puede contratar como un servicio o comprar en algunos foros por unos 10000 dólares con el código fuente. Es todo un lucrativo negocio.

[English] Many will know Zeus as the father of the gods in Greek mythology, but Zeus is also a well- known malware with interesting features. It is estimated that this botnet is one of the most active with million infections worldwide and it can be contracted as a service or purchased in various forums for 10000 USD with the source code. It’s a lucrative business.

En los últimos días han aparecido copias del código fuente en diversas webs en Internet y es fácil de encontrar con unas básicas habilidades de búsqueda, por lo que podemos imaginar en los próximos meses una explosión de botnets basados en Zeus.

In recent days copies of the source code have appeared on various websites on Internet and it’s easy to find with a few basic search skills, so we can imagine an explosion of Zeus-based botnets in the coming months.

En un análisis superficial del código fuente podemos encontrar una decente documentación de su instalación, configuración y uso, gracias 🙂

A superficial analysis of the source code we can find a decent documentation of installation, configuration and use, thank you 🙂

Lo cierto es que este malware es capaz de infectar varias versiones de Windows (XP, Vista y 7) con UAC activado y se controla desde un simple interfaz web escrito en php (C&C).

The truth is that this malware is able to infect multiple versions of Windows (XP, Vista and 7) with UAC turned on and is controlled from a simple web interface written in php (C&C).

Igual que hicimos con Stuxnet os pongo a continuación un mapa gráfico sobre Zeus en el cual podréis estudiar casi todas sus  capacidades.

Just as we did with Stuxnet I put below a graphic map on Zeus in which you can study almost all its features.

Composición de Zeus / Zeus Composition

 

 Analizando el gráfico podemos ver que Zeus es un complejo y sofisticado malware por lo que no sorprende su alto número de infecciones. Aunque Zeus no contiene exploits nos ofrece interesantes características como diversos canales de comunicación entre el Cliente y el Servidor con la posibilidad de encriptar mediante RC4 para saltarnos los mecanismos de seguridad típicos 😉 así como un amplio arsenal: sniffer, robo de certificados, cookies y contraseñas, infección de navegadores (IE e Firefox), key logger, opciones de scripting y más. No es de extrañar que este botnet sea ampliamente utilizado por el ciber-crimen y con éxito.

Analyzing the graph we can see that Zeus is a complex and sophisticated malware so its high number of infections is not surprising. Although Zeus does not contain exploits offers interesting features such as number of communication channels between the client and the server with the possibility to encrypt using RC4 to skip your typical security mechanisms 😉 as well as a broad arsenal: sniffer, stealing certificates, cookies and passwords, infection of browsers (IE and Firefox), key logger, options for scripting and more. Not strange that this botnet is widely and successfully used by cyber-crime.

Ahora que el código fuente es “público” podemos plantearnos diversas cuestiones:

  1. ¿Incluirán los framewoks de explotación algo parecido a Zeus? Hola Metasploit, sería genial 🙂
  2. ¿Veremos algún kit con código mezclado de Zeus y Stuxnet?
  3. Seguramente veremos una explosión de clones de Zeus en los próximos meses. ¿Cuál será su precio?
  4. ¿Uso de Zeus para la ciberguerra?

Now that the source code is “public” we can consider various issues:

  1. Will the exploitation frameworks include something like Zeus? Hello Metasploit, it would be great 🙂
  2. Will we see a kit mixing code from Zeus and Stuxnet?
  3. Surely we will see an explosion of clones of Zeus in the coming months. What will be their price?
  4. Use of Zeus for cyber war operations?

Aquí concluimos este análisis de Zeus, aunque personalmente seguiré estudiando su código con más detalle y quizás algún día pongamos un post más detallado. Imagino que todas las casas de anti-virus están como locos estudiando el código 😉

¿Y cuál es tu visión de Zeus para los próximos meses?

Here we conclude this analysis of Zeus although personally I will continue studying the code in more detail and perhaps one day publish a more in-depth post. I imagine that all anti-virus houses are looking at the code like crazy 😉

And what is your vision of Zeus for the coming months?

— Simon Roses Femerling

Posted in Hacking, Microsoft, Pentest, Security | Tagged , , , , , , , , , , | Leave a comment

Simon Roses Femerling Security Advisories (SRF-SA): New Blog Section

Inauguramos una nueva sección del blog con un aviso de seguridad en una aplicación Android vulnerable que descubrí hace unos meses, todo un ejemplo de desarrollo inseguro.

No soy muy dado a publicar avisos de seguridad por el amplio gasto de recursos que consumen y el poco ROI pero de vez en cuando publicaremos algo. Tenemos más 0days en el horno 😉

We are inaugurating a new section of the blog with a security advisory in a vulnerable Android app that I discovered a few months ago, a good example of insecure development practices.

I’m not too keen to publish security advisories for the broad spending of resources they consume and the little ROI but occasionally we will release some stuff. We have more 0days in the oven 😉

— Simon Roses Femerling

Posted in Advisories, Security | Tagged , , | Leave a comment

Infiltrate 2011

El 16 y 17 de Abril tuvo lugar en Miami la primera edición de Infiltrate organizada por ImmunitySec con la aspiración de ser el mejor congreso ofensivo y tengo que admitir que lo han conseguido y con nota!

The first edition of Infiltrate organized by ImmunitySec was held in Miami on 16 And 17 April with the aspiration of being the best offensive conference and I have to admit that they have exceeded my expectations!.

Es el primer congreso en el que he asistido a todas las charlas porque eran todas muy buenas, aunque no perfectas.  Prácticamente casi todas las presentaciones utilizaban exploits y algunos eran 0day.

It is the first conference that I have attended all the talks because they were all very good but not perfect. Almost all presentations used exploits and some were 0day.

Mis presentaciones favoritas fueron del primer día (Rock’m Sock’m Robots: Exploiting the Android Attack Surface y The Listening) aunque las presentaciones del segundo día tampoco tenían desperdicio como: Bypassing Windows services protections o Infiltrating PHP.

My favorite presentations were on the first day (Rock’m Sock’m Robots: Exploiting the Android Attack Surface and The Listening) although the presentations of the second day were not wasted material either: Bypassing Windows services protections or Infiltrating PHP.

Desde luego ha sido uno de los mejores congresos que he asistido, no sólo por la calidad técnica sino por el trato recibido ya que la gente de ImmunitySec ha realizado un gran esfuerzo poniendo toda la carne en el asador, y se han preocupado en todo momento en que los asistentes estuviéramos cómodos, por lo que aprovecho para felicitar a todo el equipo de Immunity por el gran evento! 🙂

Sin duda un congreso en mi lista de obligados, hasta el año que viene!

For sure one of the best conferences I have ever attended not only by the technical quality but by the treatment received by the people of ImmunitySec, who made a great effort to make sure all attendees were comfortable. Because of this I would like to take this opportunity to give my congratulations to all the Immunity team for the big event! 🙂

No doubt a mandatory conference on my list, until next year!

— Simon Roses Femerling

Posted in Conference, Hacking, Pentest, Security, Technology | Tagged , , , , , , , | Leave a comment

Immunitysec Unethical Hacking Class

Aprovechando mi asistencia al congreso de Infiltrate 2011 realize una de las formaciones que Immunitysec ofrecía, su aclamado curso Unethical Hacking. Este curso es bastante diferente de otros cursos de seguridad ya que es totalmente ofensivo y está enfocado a escribir exploits para Windows.

Taking advantage of my attendance to Infiltrate 2011 I registered for one of the trainings that Immunitysec offered its acclaimed Unethical Hacking class. This course is quite different than other security courses because it is totally offensive and focused on writing exploits for Windows.

Generalmente este curso se realiza en 5 días pero en este caso duro 4 días y se nota esa falta ,pero a pesar de ello fue un curso extremadamente práctico e interesante.

This course is usually done in 5 days, but in this case was 4 days only and you could feel the lack of that day, but nevertheless it was an extremely practical and interesting course.

El primer día te dan una carpeta con más de 500 páginas sobre escribir exploits y shellcode en Windows (Stack, SEH, etc.) y el uso de Canvas, pero aquí termina la teoría ya que el curso está pensado para que lo leas por tu cuenta. Pasadas un par de horas de teoría del primer día comienza el primer ejercicio que consiste en escribir un exploit para un simple stack overflow utilizando VisualSploit e Immunity Debugger. Los días 2 y 3 continúas escribiendo exploits hasta un total de 7 exploits como un loco.

The first day you are given a folder with more than 500 pages on writing exploits and shellcode on Windows (Stack, SEH, etc.) and the use of Canvas, but here ends the theory as the course is designed to enable you to read it on your own. Past a couple of hours of theory of the first day we started the first exercise that consists of writing an exploit for a simple stack overflow using VisualSploit and Immunity Debugger. Days 2 and 3 continues writing exploits for a total of 7 exploits like madness.

El 4 día se enfocó al uso de Canvas y se realizó un pequeño concurso de hacking web por un magnifico premio, un Silica

Lo cierto es que es un curso que recomiendo si quieres conocer el arte de escribir exploits para Windows o el uso de las herramientas de Immunity como VisualSploit, Immunity Debugger o Canvas. No hace falta tener experiencia en programación pero ayuda.

Desde aquí dar las gracias al equipo de Immunity por el curso y nos vemos en el Master Class cuando pueda 🙂

The 4 day focused on the use of Canvas and a small web hacking contest was held for a magnificent award, Silica.

The truth is that it is a course which I recommend if you want to know the art of writing exploits for Windows or the use of the tools of Immunity VisualSploit, Immunity Debugger or Canvas. There is no need to have experience in programming but it helps.

From here I would to thanks the Immunity team for the great course and see you in the Master Class when I can 🙂

— Simon Roses Femerling

Aquí os dejo unos screenshots que os darán una shell pero no son  0days 😉

Here are a few screenshots that you will give a shell but aren’t 0days 😉

Posted in Hacking, Pentest, Security | Tagged , , , , , , | Leave a comment

Information Warfare Strategies (SRF-IWS): Tax Haven Attacks

Desde esta nueva sección del blog, Information Warfare Strategies (SRF-IWS), presentaremos escenarios hipotéticos con relación a un tema muy de moda como es la ciberguerra. Analizaremos el porqué, el cómo y el impacto de realizar ataques a los sistemas informáticos conocidos como Computer Network Attacks (CNA) [1] en la jerga de ciberguerra.

This new section of the blog, Information Warfare Strategies (SRF-IWS), will introduce hypothetical cyber warfare scenarios, a hot topic these days. We will analyze the why, the how and the impact of computer attacks known as Computer Network Attacks (CNA) [1] in cyber warfare jargon.

¿Por Qué? / The Why?

Ataques a los sistemas financieros, en particular a la bolsa, han sido planteados por diversas películas como “Die Hard 4.0” o “Asalto al tren Pelham 123”, además de numerosos ejemplos reales como Rusia acusada por la SEC de manipulaciones en la bolsa mediante el uso de cuentas robadas [2] o los recientes ataques al NASDAQ [3] y al comercio del carbón en Europa [4] con el fin de causar daños económicos, llamar la atención o simplemente enriquecerse.

Attacks to financial systems, in particular the stock market, have been raised by various films such as “Die Hard 4.0″ or ” The Taking of Pelham 123″, as well as numerous real examples as Russia accused by the SEC of manipulation in the stock market through the use of stolen accounts [2] or the recent attacks on NASDAQ [3] and the carbon market in Europe [4] in order to cause economic damage, draw attention to or just to enrich themselves.

En nuestro primer escenario vamos a enfocar nuestro ataque a los paraísos fiscales. Más de un lector se estará preguntando el porqué de esto, pues por varias razones:

  •  Los paraísos fiscales “protegen” una cantidad inimaginable de fortunas de millonarios, empresas, países, dictadores, etc.
  •  La discreción es la norma, ya que tanto a los paraísos fiscales como a sus propios clientes no les interesa que se haga público si los sistemas informáticos han sido comprometidos y las fortunas robadas, aunque dependiendo de quién sea la fortuna podría haber serias repercusiones. 
  •  Si las grandes empresas como Google, Adobe y Yahoo con amplios recursos y talento no fueron capaces de resistir ataques informáticos (Operación Aurora [5]) o el mismísimo Departamento de Defensa americano frecuentemente víctima de ataques, ¿podemos realmente creer que estos paraísos fiscales son seguros y podrían defenderse contra ataques focalizados? Permitidme que lo dude.

In the first scenario we will focus our attacks on Tax Havens. I’m sure more than one reader will be wondering why, well there are several reasons:

  • Tax havens “protect” an unimaginable amount of fortunes from millionaires, companies, countries, dictators, etc.
  • Discretion is the rule, both tax havens and their customers care to go public if computer systems have been compromised and fortunes stolen, although depending on whom the fortune is could have serious repercussions.
  • If large corporations such as Google, Adobe and Yahoo with vast resources and talent were not able to resist attacks (operation Aurora [5]) or even the US Department of Defense often victim of attacks, can we really believe that these tax havens are safe and could defend against targeted attacks? Let me doubt it.

Las Fig. 1 y Fig. 2 son mapas que reflejan los países considerados como paraísos fiscales, aunque algunos países han sido eliminados de esta lista negra recientemente como es el caso de Andorra debido a una mayor transparencia. Estaríamos hablando de alrededor de unos 50 países que podrían ser objetivos potenciales, y podemos apreciar que la mayoría de ellos no destaca por ser tecnológicamente avanzados.

Fig. 1 and Fig. 2 are maps that reflect the countries considered tax havens, although some countries have been removed from this list recently as in the case of Andorra because of greater transparency. We would be talking about some 50 countries that could be potential targets and we can see that most of them are not noted for being technologically advanced.


Fig. 1 – Paraíso Fiscal Mapa I / Tax Haven World Map I


Fig. 2 – Paraíso Fiscal Mapa II / Tax Haven World Map II

 Computer Network Operations (CNO) / Cyber Operations (CO) / Computer Network Operations (CNO) / Cyber Operations (CO)

Computer Network Operations (CNO) es el término que engloba las acciones relacionadas con la ciberguerra y que contiene 3 categorías:

  • Computer Network Attack (CNA): Ataque
  • Computer Network Defense (CND): Defensa
  • Computer Network Explotation (CNE): Inteligencia

En esta sección hablaremos sobre ataques teóricos a nuestros objetivos por lo que estaremos interesados en CNA y CNE. 

Computer Network Operations (CNO) is the term that includes actions relating to cyber warfare and contains 3 categories:

  • Computer Network Attack (CNA): Attack
  • Computer Network Defense (CND): Defense
  • Computer Network exploitation (CNE): Intelligence

In this section we will discuss theoretical attacks for our goals, therefore we are interested in CNA and CNE only.

En la pasada edición de Defcon, el legendario congreso hacker, hubo una interesante charla sobre la creación de un ficticio ciber-ejército capaz de atacar cualquier país por Charlie Miller, reputado experto en seguridad. Miller en su exposición planteaba la idea que Corea del Norte le secuestraba y le obligaba a crear un ciber-ejército capaz de comprometer la seguridad de los EE.UU. Para ello Miller estimo que necesitaría unas 592 personas  (expertos en seguridad, programadores, jefes de proyecto, etc.) con un prepuesto de 49 millones de dólares y un plazo de 2 años para conseguir este objetivo. [6]

In the last Defcon, the legendary hacker Congress, there was an interesting talk on the creation of a fictional Cyber-army capable of attacking any country by renowned security expert Charlie Miller. Miller in his presentation raised on the idea that North Korea kidnapped him and obliged him to create a cyber-army capable of compromising the security of the United States. So Miller estimated that it would require about 592 people (security experts, developers, project managers, etc.) with a budget of $49 million and a timeframe of 2 years to achieve this goal. [6]

Nuestro comando es más modesto y basado en la metodología de Miller estimamos que necesitamos unas 27 personas (seguridad, pentester y jefes de proyecto) y un presupuesto de unos 3 millones de dólares pero esto no incluye equipamiento, gente externa, nuestro equipo de agentes en el terreno para ataques físicos o la gente de desarrollo. Botnets que en este caso no emplearemos (en caso de necesitar botnets podemos alquilar en el mercado negro). Como resultado final estaríamos hablando de unas 40 personas con un presupuesto de 5 millones de dólares en un periodo de 6-9 meses, siempre que queramos hacerlo de forma profesional. Posiblemente podamos conseguirlo con menos gente y presupuesto.

Our commando is more modest and based on Miller’s methodology we believe that would require around 27 people (security experts, pen tester and project managers) and a budget of about $3 million, but this amount does not include equipment, external people, our team of field agents to perform physical attacks or developers. Botnet that in this exercise will not be used (in case of needing botnets we can rent them on the black market). The end result would be around 40 people with a budget of $5 million over a period of 6-9 months, wherever we want to do it professionally. We can possibly get it with fewer people and budget.

La combinación de ataques es un concepto que debemos dominar para conseguir nuestro objetivo como nos enseña “Unrestricted Warfare”, por lo que usaremos distintas estrategias de ataque como:

  • Informáticos: mediante nuestro equipo de ciber soldados
  • Política: si tenemos la capacidad como Nación de ejercer algún tipo de fuerza política/económica contra alguno de estos paraísos. Algún tipo de embargo referente a tecnologías de seguridad podría ser interesante para nuestra ventaja
  • Terroristas: mediante nuestros agentes de campo

Nuestro planteamiento de ataque es que para ser más efectivos y conseguir nuestro objetivo debemos tener un equipo de agentes en el terreno y no sólo ciber soldados a distancia, aunque quién sabe, quizá es lo único que necesitamos.

The combination of attacks is a concept that we must master to achieve our goals, as the “Unrestricted Warfare” teach us, and by which we will use different attack strategies such as:

  • Computer: through our team of cyber warriors
  • Politics: if we have the ability as a State-Nation to exercise some sort of policy/economic force against any of these tax havens. Any type of embargo concerning security technologies might be interesting to our advantage
  • Terrorists: through our field agents

Our attack approach is that in order to be more effective and achieve our goals we must have a team of field agents and not only cyber warriors from a remote location, but who knows, maybe it is all that we need at the end.

En base a nuestra combinación de ataques hemos desarrollado un mapa de ataque simple (Fig. 3) que nos da una visión de posibles estrategias que podemos seguir para alcanzar nuestro objetivo.

On the basis of our attack combination we have developed a simple attack map (Fig. 3) that gives us a vision of possible strategies that we can execute to achieve our goals.

Fig. 3 – Mapa de ataque simple / Simple Attack Map

Ahora ya estamos listos para la acción!

Now we are ready for action!

Impacto Económico / Economic Impact

Se desconoce el volumen económico que manejan los paraísos fiscales, pero el senado de EE.UU. estima que solamente EE.UU. pierde unos 100 billones de dólares anuales por evasión de impuestos a través de estos paraísos fiscales y si incluimos otros países estaríamos hablando de billones de euros. [7]

The economic volume operating in tax havens is unknown, but the United States Senate considers that United States alone losses some $100 billion a year for tax evasion through these tax havens and if we include other countries we would be talking of billions euros in losses. [7]

Si quisiéramos provocar daños económicos a un país podríamos intentar averiguar cuáles son los paraísos fiscales preferentes y atacarlos. Por ejemplo en España hace unos años Andorra y Gibraltar eran bastante populares entre empresas, pequeños inversores y deportistas.

If we were to cause economic damage to a country we could try to find out what are the preferential tax havens and attack them. For example in Spain a few years ago Andorra and Gibraltar were quite popular among companies, small investors and athletes.

Un ejemplo real del uso de estas tácticas ocurrió en 1999 cuando operativos de la CIA y posiblemente de la NSA bajo un mandato del Presidente Bill Clinton obtuvieron permiso para comprometer la seguridad de varios bancos en Rusia, Chipre y Grecia con el fin de embargar las cuentas bancarias de Slobodan Milosevic acusado de crímenes de guerra. La operación fue todo un éxito y demostró el beneficio de estas tácticas. [8]

 A real example of the use of such tactics occurred in 1999 when operatives of the CIA, and possibly of the NSA under a mandate from President Bill Clinton got permission to compromise the security of several banks in Russia, Cyprus and Greece in order to seize bank accounts of Slobodan Milosevic, accused of war crimes. The operation was a success and showed the benefit of these tactics. [8]

El paraíso fiscal por excelencia es Suiza, aunque en los últimos años han sufrido diversos ataques informáticos, robo de información y en un esfuerzo en ganar transparencia han provocado que haya dejado de ser un paraíso fiscal para muchos millonarios pero a pesar de ello sigue siendo un objetivo atractivo para nuestro escenario.

The tax haven per excellence is Switzerland but in recent years they have suffered various computer attacks, information leakage and in an effort to gain transparency have resulted in that it has ceased to be a tax haven for many millionaires but nevertheless continues to be an attractive target for our scenario.

Dicho esto debido a la poca información que existe sobre el volumen de negocio que manejan los paraísos fiscales es difícil estimar el impacto económico, pero el lector puede estar seguro que comprometer algunos de estos paraísos fiscales puede tener severas consecuencias económicas para muchas empresas a nivel global.

Having said that, due to the little information that exists on the volume of business that tax haven manages is difficult to estimate the economic impact but the reader can be sure that owning some of these tax havens can have severe economic consequences for many companies at a global level.

Conclusiones / Conclusions

A lo largo de este ficticio escenario hemos analizado el porqué, el cómo y el impacto de realizar ataques a objetivos concretos mediante ciberguerra. Como ya hemos señalado los paraísos fiscales pueden ser un objetivo lucrativo y tener unas consecuencias serias a nivel global sobre todo en el periodo de crisis que nos encontramos.

In this fictional scenario we’ve analyzed the why, the how and the impact of strikes at specific targets by cyber warfare tactics. As we have already mentioned tax havens can be a lucrative target and have serious consequences at the global level particularly in the period of crisis that we are living.

Podemos resumir este escenario en:

  • Difícilmente cualquier país, empresa o Infraestructura Crítica (IC) podrá defenderse de ataques bien organizados.
  • Hemos creado un pequeño ciber ejército pero es factible a menor escala, como operan los grupos mafiosos en la Red.
  • Debemos definir nuestro plan de acción y tener los recursos necesarios.
  • La ciber guerra existe y los países tienen que ser conscientes y adoptar medidas.
  • Es necesaria una coordinación entre lo civil y militar para defender los intereses nacionales.

We can summarize the scenario:

  • Hardly any country, corporation or Critical Infrastructure (CI) can defend against organized attacks.
  • We have created a small Cyber Army but it is feasible on a smaller scale, as operate mafia-style groups on Internet.
  • We must define our action plan and have the necessary resources.
  • Cyber warfare exists and countries need to be aware and take action.
  • Coordination between civil and military to defend national interests is a must.

Sin duda veremos el uso de estas tácticas de forma frecuente y profesionalizada y muchos de los perfiles necesarios serán profesiones en auge en esta década.

Desde aquí invitamos al lector a que nos haga sugerencias de escenarios que le gustaría que desarrollemos en conjunto.

Hasta el próximo SRF-IWS!!!!!

We will certainly see the use of these tactics more frequently and professionally and many of the necessary skills will be jobs on the rise in this decade.

From here we invite the reader to make us suggestions of scenarios that you would like us to develop together.

Until the next SRF-IWS!

— Simon Roses Femerling

Enlaces / Links

[1] http://en.wikipedia.org/wiki/Computer_network_operations

[2] http://www.v3.co.uk/v3-uk/news/1960891/russian-accused-stock-hacking-denies-allegations

[3] http://online.wsj.com/article/SB10001424052748704709304576124502351634690.html

[4] http://www.ens-newswire.com/ens/jan2011/2011-01-20-01.html

[5] http://en.wikipedia.org/wiki/Operation_Aurora

[6] http://www.defcon.org/images/defcon-18/dc-18-presentations/Miller/DEFCON-18-Miller-Cyberwar.pdf

[7] http://www.oecd.org/document/21/0,3746,en_2649_37427_42344853_1_1_1_37427,00.html

[8] http://www.zdnet.com/news/cias-cyberwar-is-just-computer-crime/102411

http://newunionism.wordpress.com/2010/11/24/tax-havens-and-globalisation/

http://www.namebase.org/news11.html

Posted in Economics, Hacking, Security, Technology | Tagged , , , , , , , , , | Leave a comment

Book Review: 30 Arduino Projects for the Evil Genius

Sin duda Arduino está de moda y este libro escrito por Simon Monk nos introduce en el mundo de Arduino y la electrónica de forma muy práctica y sencilla mediante 30 ejemplos. 30 Arduino Projects for the Evil Genius (ISBN-13: 978-0071741330) de la serie Evil Genius está dividido en 10 capítulos que tratan diferentes aspectos del uso de arduino como el uso de LEDS, sensores, luces, sonido, etc.

No doubt Arduino is a hot topic and this book written by Simon Monk introduces us to the Arduino world and electronics in a very practical and simple way through 30 examples. 30 Arduino Projects for the Evil Genius (ISBN-13: 978 – 0071741330) of the Evil Genius series is divided into 10 chapters dealing with different aspects of the use of arduino such as the use of LEDS, sensors, lights, sound, etc.

Para los amantes de la electrónica o aquellos que se quieran introducir es desde luego una obra de recomendada lectura  por su sencillez y los extensos conocimientos del autor sobre la materia. Sin embargo se echa en falta algo más del uso de Arduino en redes wifi, bluetooth o comunicación con otros dispositivos.

For Electronics lovers or those who want to learn about it this is certainly a recommended reading due to its simplicity and the extensive knowledge of the author on the subject. However the book lacks about Arduino use in wifi networks, Bluetooth or communication with other devices.

Algunos proyectos son realmente fascinantes como jugar con un rayo láser, la creación de una puerta magnética o la gestión de la temperatura en el hogar 🙂

Some projects are really fascinating like how to play with lightning laser, a magnetic door creation or temperature management at home 🙂

A pesar de sus carencias es un libro de lectura rápida y fácil para todas las edades ya que parte que el lector no tiene conocimientos en la materia pero también puede ser leído por usuarios avanzados para comparar formas de pensar.

In spite of its shortcomings it is a quick and easy reading for all ages as the book parts the reader has no knowledge on the subject but it can also be read by advanced users to compare ways of thinking.

No debemos olvidar que esta saga de libros, Evil Genius, cuenta con otras obras igualmente atractivas.

We must not forget that this series of books, Evil Genius, has other equally attractive topics.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura Recomendada)

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Reading)

— Simon Roses Femerling

Posted in Books, Technology | Tagged , , , | 1 Comment

Metasploit PRO In Action

En este post haremos un tour de metasploit PRO, un GUI comercial con importantes mejoras para el conocido metasploit que nos permite convertirnos en experto pentester de forma rápida y sencilla.

In this post we will make a tour of metasploit PRO, a commercial GUI with significant improvements to the known metasploit allowing us to become a pentester expert quickly and easily.

Metasploit PRO nos guiará por todo el ciclo de un pentest mediante un sencillo y elegante interfaz web como descubrimiento, explotación, recogida de información y generación de informes, etc.

Metasploit PRO will guide us on the whole pentest cycle using a simple and elegant web interface as discovery, exploitation, information collection and generation of reports, etc.

Aunque utilicemos metasploit PRO o la versión Express, el hermano pequeño, es recomendable conocer el uso de la línea de comandos en metasploit para convertirnos en maestros de metasploit!

Although we use metasploit PRO or Express, the little brother, is recommended to know the command line use of metasploit to become a master of metasploit!

Para este ejemplo realizaremos un ataque al metasploitable, una máquina virtual Linux vulnerable que Rapid7 pone a disposición para hacer pruebas.

For this example we will make an attack on the metasploitable, a vulnerable Linux virtual machine created by Rapid7 available for testing.

El proceso de instalación y configuración es tan sencillo que no entraremos en detalles. Una vez que tengamos arrancado el metasploit PRO abrimos el navegador, entramos con nuestra cuenta y veremos una pantalla que nos pedirá crear un proyecto. (Fig. 1)

The installation and configuration process is so easy that we will not go into details. Once we have started the metasploit PRO open a browser, enter our account and will see a screen asking us to create a project. (Fig. 1)


Fig. 1 – Creando un proyecto / Create a project

Una vez creado un proyecto, ahora tendremos varias opciones para comenzar nuestro pentest como vemos en la siguiente imagen. (Fig. 2)

Once created a project, we will have several options to begin our pentest as we see in the image below. (Fig. 2)


Fig. 2 – Opciones de pentesting / Pentesting options

Siguiendo el ciclo de pentest vamos a proceder a realizar un “discovery” para identificar posibles objetivos. Para ello configuramos el rango IP que queramos escanear y demás opciones. (Fig. 3)

Following the pentesting cycle we will proceed to do a “discovery” to identify potential targets. Set the IP range you want to scan and other options as well. (Fig. 3)


Fig. 3 – Escaneo de red / Network scan

La Fig. 4 nos muestra los resultados del escaneo y encontró una máquina con los siguientes servicios. El escaneo se realiza utilizando Nmap.

The Fig. 4 shows the results of the scan and did found a machine with the following services. Scanning is performed using Nmap.


Fig. 4 – Resultado del Escaneo / Scanning output

Ahora que ya tenemos un sistema identificado podemos lanzar un ataque de fuerza bruta para probar contraseñas débiles o conocidas. Es importante tener en cuenta que este tipo de ataques suelen durar tiempo (en mi caso duró 2 horas y eso que ambas máquinas están en la misma red) y además son muy ruidosos, posiblemente harán saltar alarmas en cortafuegos e IDS. Si queremos ser silenciosos no hagáis este tipo de ataques. Ver Fig. 5 para ver la configuración de este ataque.

Now that we have identified systems we can launch a brute force attack to prove weak or known passwords. It is important to note that such attacks are often slow and time consuming (in my case it lasted 2 hours and both machines are on the same network) and they are also very noisy, possibly generating alarms in firewall and IDS. If we want to be silent do not do these kinds of attacks. See Fig. 5 to view the configuration of this attack.


Fig. 5 – Configuración fuerza bruta / Brute force configuration

Una vez configuradas las opciones de fuerza bruta comenzamos el ataque y en la Fig. 6 podemos ver como se está ejecutando el ataque y que ha descubierto una contraseña en el servicio SSH. Una ventaja de metasploit PRO es que al realizar este ataque y al adivinar una contraseña nos creará una sesión en la máquina comprometida de forma automática.

Once configured brute force options start the attack and in Fig. 6 we can see the attack in action and that it has discovered a password in the SSH service. One advantage of metasploit PRO to carry out this attack is that when it guesses a password it creates a session in the compromised machine automatically to carry further attacks from inside.


Fig. 6 – Ataque fuerza bruta en acción / Brute force attack in action

Ahora que ya tenemos una máquina comprometida, en este caso mediante un ataque de fuerza bruta, vamos seguir el orden lógico del ciclo de pentest, por lo que vamos recoger información interna del sistema. (Fig. 7)

Now that we have a compromised system, through a brute force attack, we will follow the logical order of pentesting cycle and collect internal information from the system. (Fig. 7)


Fig. 7 – Recogida de información / Information collection

La Fig. 8 nos nuestra el resultado de la recogida de información.

Fig. 8 shows us the result of information collection.


Fig. 8 – Recogida de información en acción / Information collection in action

Es un buen momento para darnos cuenta de que en poco tiempo y de forma organizada hemos identificado sistemas, hemos lanzado ataques de fuerza bruta, hemos comprometido una máquina y obtenido información interna para seguir nuestro pentest. Fascinante y todavía no hemos lanzado ningún exploit 😉

Metasploit PRO guarda todo el historial de las actividades que hemos realizado como podemos apreciar en la Fig. 9 y es muy práctico para saber qué hemos hecho y qué nos falta, sobre todo cuando estamos atacando multitud de máquinas.

It is a good time to realize that in a short time and in an organized manner we have discovered systems, launched brute force attacks, compromised systems and obtained internal information to keep carrying out our pentesting. Fascinating and still we have not launched any exploit 😉

Metasploit PRO keeps record of all activities that we have carry out as we can be seen in the Fig. 9 and it is very handy to know that we have done so far and what is still missing especially when we are attacking several systems.


Fig. 9 – Historial de actividad / Task History

Metasploit PRO nos ofrece un scoreboard que nos muestra el número de máquinas identificadas, comprometidas, servicios, etc. como podemos ver en la Fig. 10.

Metasploit PRO offers us a scoreboard that shows the number of discovered systems, compromised, services, etc. as we see in Fig. 10.


Fig. 10 – Scoreboard / Scoreboard

Como es lógico desde el interfaz podemos seleccionar las máquinas que hayamos identificado/atacado para ver toda la información que tengamos sobre ellas.

Las Fig. 11 y Fig. 12 nos revelan los servicios y la información recogida de un sistema que hemos comprometido anteriormente.

Logically from the interface you can select the systems discovered/attacked to see all the information we have about them.

The Fig. 11 and Fig. 12 reveal services and collected information from a system that we have previously compromised.


Fig. 11 – Información del sistema comprometido I / Collected Information I


Fig. 12 – Información del sistema comprometido II / Collected Information II

Si observamos los servicios veremos que el sistema atacado tiene web, por lo que sería un buen momento para lanzar un ataque web y descubrir más vulnerabilidades que podamos explotar. J

La Fig. 13 nos nuestra la configuración para realizar un escaneo web, un crawler del sitio web.

If we look at the services we will see that the attacked system has web services so it would be a good time to launch a web attack and discover more vulnerabilities we can exploit J

Fig. 13 shows us the options to perform a website scan, a website crawler.


Fig. 13 – Configuración escaneo web / Web scanning options

En la Fig. 14 podemos ver el escaneo web en acción.

In the Fig. 14 we can see the web scan in action.


Fig. 14 – Escaneo web en acción / Web scanning in action

Ahora que ya hemos realizado un escaneo del sitio web (crawling) podríamos realizar acciones más complejas como un auditoría o ataque al sitio web como se puede apreciar en la Fig. 15.

Now that we have already performed a scan of the web site (crawling) we could take further actions more complex like an audit or attack the web site as showed in Fig. 15.


Fig. 15 – Resultados del escaneo web (crawling) / Web scanning output

Al final del ciclo de pentesting e igualmente importante que las otras fases es crear un buen y claro informe que detalle las acciones realizadas, sistemas y vulnerabilidades descubiertas además de información de apoyo (información recogida).

Metasploit PRO también nos ayuda en este aspecto ya que nos permite generar informes con todo lujo de detalles de forma rápida con todo el historial de nuestras actividades. La Fig. 16 nos muestra cómo generar informes con esta estupenda herramienta.

At the end of the pentesting cycle and equally important as other phases is to create a good and clear report describing all actions, systems and vulnerabilities discovered in addition to information collected.

Metasploit PRO also helps us here as it allows us to generate reports with all luxury of details quickly with the entire history of our activities. Fig. 16 shows us how to generate reports within this great tool.


Fig. 16 – Generando un informe / Report creation

La Fig. 17 es un PDF que podemos enviar a nuestro cliente para que pueda leer cómo hemos comprometido su seguridad 😉

Fig. 17 is a PDF that we can send to our customer so he can read how we compromised their security 😉


Fig. 17 – Informe en PDF / PDF report

Como hemos podido apreciar a lo largo del post esta herramienta es fundamental para cualquier pentester profesional y posiblemente sea una de las herramientas más completas del mercado.

No he ejecutado ningún exploit a propósito ya que quería que el lector viera lo fácil que puede ser comprometer la seguridad de un sistema sin utilizar exploits. Admito que he utilizado una versión Linux vulnerable, pero aquellos lectores que sean pentester sabrán que no dista mucho de los entornos de sus clientes, probad a realizar auditorías de contraseñas 🙂

As we have seen in the post this tool is essential for any professional pentester and possibly one of the most comprehensive tools in the market

I have not run any exploit deliberately as I wanted to prove to the reader how easy it can be compromising the security of a system without using exploits. Admittedly, I used a vulnerable Linux version but those readers who are pentesters will know that this scenario is not far from real customer’s environments, try to perform passwords audit 🙂

Igualmente me he dejado muchas cosas en el tintero de esta formidable herramienta como son:

  • Integración con neXpose, escaneo de vulnerabilidades.
  • Pivoting (Proxy y VPN), utilizar un sistema comprometido para comprometer otros sistemas.
  • El modo Campaña, para lanzar ataques de ingeniería social y phishing.
  • Ataques coordinados entre varios pentesters.
  • Y muchas más cosas que podéis en la web oficial del producto.

Also I have left many things in the dark of this formidable tool as:

  • Integration with neXpose vulnerability scanning.
  • Pivoting (Proxy and VPN), use a compromised system to compromise other systems.
  • How to perform a campaign, to launch social engineering and phishing attacks.
  • Coordinated attacks between several pentesters, collaboration.
  • And many more things you can read on the product website.

Todas estas opciones y muchas más convierten a Metasploit PRO, al estar respaldada por metasploit, en producto líder de su categoría. Podríamos escribir un libro con todo lo que nos puede ofrecer esta herramienta 🙂

Para sacar el mayor rendimiento a Metasploit PRO es conveniente utilizarlo en Linux aunque también existe una versión Windows.

Agradecer a HD Moore y al equipo de Rapid7 al incluirme en la beta del programa y por convertir a metasploit en posiblemente el mejor “explotation framework” del mercado.

 ¿Cuál es tu explotation framework favorito y porque?

All of these options and many more make Metasploit PRO, supported by metasploit, a leading product in its class. We could write a book with all this tool can offer us 🙂

To get maximum performance of Metasploit PRO it is convenient to use a Linux system but there is also a Windows version as well.

Thanks HD Moore and the Rapid7 team for including me in the beta program and make metasploit possibly the best “exploitation framework” of the market.

Which is your favorite exploitation framework and why?

— Simon Roses Femerling

Posted in Hacking, Pentest, Security | Tagged , , , , , | Leave a comment

Panda 3º Security Blogger Summit Report

Ayer se celebró la tercera edición del Security Blogger Summit (SBS) organizada por Panda en Madrid y que contó con un interesante y peculiar cartel de ponentes como (sentados de derecha a izquierda) Chema AlonsoRuben Santamarta, Enrique Dans, Josu Franco, Elinor Mills y Robert McMillan para debatir los temas de Hacktivismo y Ciberguerra, ¿Realidad o Ficción?

Yesterday was held the third edition of the Security Blogger Summit (SBS) organized by Panda in Madrid that counted with an interesting and quirky panel (seated from right to left): Chema Alonso, Ruben Santamarta, Enrique Dans, Josu Franco, Elinor Mills and Robert McMillan to discuss the issues of Hacktivism and cyberwarfare, fact or fiction?

Mi opinión personal sobre estos temas no dista de las conclusiones de los ponentes y no debería ser distinta para las personas que llevamos tiempo en estos temas 🙂

My personal opinion on these issues is not far from the conclusions of the panelist and should  be the same for the people who have worked time in these issues 🙂

Hacktivismo conclusiones:

–        Uso de la web social para informar, que no coordinar, las revueltas que están sucediendo en Irán, Túnez, Egipto y etc. La coordinación sigue siendo por los medios clásicos como móviles y boca a oreja. (DANS)

–         En los próximos años veremos muchos mini Wikileaks que no contarán con el rigor periodístico generando envenenamiento de la información. (DANS)

–        El hacktivismo es necesario. (CHEMA)

–        Gracias a la tecnología los gobiernos pueden funcionar casi de forma automática permitiendo mantener el control. (CHEMA)

–        Es necesario combinar acciones en la red con acciones reales para conseguir algún efecto. (RUBEN)

–        Las cosas se arreglan en la calle.  (RUBEN)

–        La acción de Egipto fue de Ciber-Tiranía. (ELINOR)

–        Requiere acción ciudadana. (ROBERT)

–        A veces acciones ilegales son necesarias.

–        España no se mueve por la situación del país y es una lástima. Menos virtual y más acción real!!

–        Preocupa más  el apagón de Egipto o en control total de China?

–        Interesante el uso de los móviles en las manifestaciones que les permite informar y subir fotos/video a las redes sociales en el momento. (SIMON: cuidado con los móviles en las manifestaciones, las fuerzas del estado capturan la información y saben si has estado alli 😉

Hacktivism conclusions:

–        Use of the social web to inform, but not coordinate, the riots that are happening in Iran, Tunisia, Egypt, etc. Coordination is still by classics means such as cell phones and mouth to ear. (DANS)

–        In the coming years we will see many mini Wikileaks that had no journalistic work generating information poisoning. (DANS)

–        -Hacktivism is necessary. (CHEMA)

–        Thanks to the technology Governments can work almost automatically allowing them to maintain control. (CHEMA)

–        It is necessary to combine actions on the network with real action to achieve some effect. (RUBEN)

–        Issues are arranged on the street. (RUBEN)

–        Egypt action was Cyber-tyranny. (ELINOR)

–        Requires citizen action. (ROBERT)

–        Sometimes illegal actions are necessary.

–        Spain does not move by the situation in the country and it is a pity. We need less virtual and more live-action!

–        What concerns us more, the blackout of Egypt or total control of China?

–        It’s interesting the use of mobile phones in demonstrations allowing them to report and upload photos/video to social networks on site. (SIMON: Beware of mobile phones in demonstrations/riots, the State forces can capture your mobile information and know if you’ve been there 😉

Ciberguerra conclusiones:

–        La ciberguerra existe y es real. (CHEMA)

–        Según Schneider la ciberguerra está exagerada y pienso igual. (DANS)

–        Una guerra se realiza a diferentes niveles y no sólo virtual. (RUBEN)

–        El término ciberguerra es inapropiado, necesitamos un término más acertado. (ELINOR)

–        Ciberguerra es distinto que cibercrimen o ciberespionaje. (ELINOR)

–         Los temas de ciberguerra sirven para ocultar otros problemas reales? (ROBERT)

–        Las ciberarmas como Stuxnet no son malware. Estas armas son precisas y complejas mientras que el malware tiende a ser simplón.

–        Posiblemente no veremos una ciberguerra total sin una guerra física aunque todavía no hemos visto la punta del iceberg.

–        Están ocurriendo ataques de ciberguerra y llevan muchos más años de lo que pensamos.

–        Quién produce más ciberarmas las agencias de inteligencia o los cibercriminales?

–        Seguramente el fenómeno de ciberguerra está exagerado, aunque muchos países como EE.UU., China y Corea del Norte están invirtiendo cientos de millones y hacen públicos sus programas de ciberdefensa.

Cyberwarfare conclusions:

–        Cyberwarfare exists and is real. (CHEMA)

–        According to Schneider cyberwarfare is exaggerated and I think the same. (DANS)

–        Wars are fighted at different levels, not only virtual. (RUBEN)

–        The term cyberwarfare is inappropriate, we need a better term. (ELINOR)

–        Cyberwarfare is different than cybercrime or cyber-espionage. (ELINOR)

–        Do cyberwarfare discussions used to hide other real problems? (ROBERT)

–        The cyber-weapons as Stuxnet are not malware. These weapons are accurate and complex while malware tends to be simplistic.

–        Probably we will not see a total cyberwarfare without a physical war even though we have not yet seen the tip of the iceberg.

–        Cyberwarfare attacks are happening and they have being happening longer that we think.

–        Who produces more cyber-weapons intelligence agencies or cybercriminals?

–        Surely the phenomenon of cyberwarfare is exaggerated though many countries such as USA, China and North Korea are investing hundreds of millions and making public its cyber defense programs.

Como podéis apreciar algunas conclusiones son realmente interesantes y nos hacen reflexionar sobre estos temas.

La verdad es que fue un buen evento y desde aquí damos las gracias a Panda por la organización. Hasta la próxima edición! 😉

Y cuál es tu opinión sobre Hacktivismo y Ciberguerra?

As you can read some conclusions are really interesting and make us think about these issues.

The truth is that it was a good event and from here we thanks Panda for the organization. Until next edition! 😉

And what is your opinion about Hacktivism and Cyberwarfare?

— Simon Roses Femerling

Posted in Conference, Economics, Security, Technology | Tagged , , , , , , , , | Leave a comment

Marketing Failure Series: Google has fixed their AdWorks Spanish Campaign

Google ha reemplazado un popular navegador para Windows por el Chrome, el navegador propio de Google, y MacOS en su campaña de marketing sobre AdWorks, se habrán dado cuenta del error por este blog??

Se admiten apuestas! 🙂

Google has replaced a popular browser for Windows by his own browser, Chrome, and MacOS in their AdWorks marketing campaign, maybe because of this blog?

Bets allowed! 🙂

— Simon Roses Femerling

Posted in Business, Technology | Tagged , , | Leave a comment