El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 20-11-2019 18:28:04

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,946

Phineas Fisher da recompensa de 100 000$ para hack de interes publico

Phineas Fisher hackea un banco offshore y lanza el Programa Hacktivista de Caza de Bugs

Phineas_4.jpg

  Hacía algo de tiempo que no sabíamos nada acerca de Phineas Fhisher

En su ultima conversación (del 2018) con el periodista Lorenzo Franceschi-Bicchiera anunciaba que se "iba a tomar un descanso" 

"probably take a break from hacking for a while too, it's not so healthy.""you have a double life you have to hide from everyone around you," and that, they added, "causes some depression/stress."

Habla de una vida "no muy saludable"... ...Es verdad que los riesgos son mínimos: Cárcel o manicomio por esquizofrenia/paranoia tongue
 
  La buena noticia es que "Hack back is back!" smile
Phineas Fisher acaba de publicar otra entrega de su guía Hack Back! para documentar un ataque llevado por el 2016
Se trata del hacking de un banco "offshore" llamado Cayman National

Phineas_1.jpg

No van por cuatro caminos: Anuncian alto y claro que se dedican a eludir tasas

Phineas_2.jpg

  El nombre del banco es engañoso: No es de las islas caimanes, es de la "Isla de Man"
Es una isla británica del mar irlandés con menos de 100 000  habitantes y con un buen "ingreso per capita": ¡Noveno mundial!

• Per capita    $84,600 (9th)

Una "dependencia" de la corona británica que no forma parte del Reino Unido.
Tiene su propio gobierno y su propia legislación.
Pretenden ser la "primera democracia parlamentaría" de Europa de por su asamblea tradicional llamada "Tynwald". Pero hay polémica porque dicen que la Tynwald tiene más de mil años mientras que las primeras evidencias conocidas datan del siglo 13.
  Una cosa en la cuál todos los especialistas se ponen de accuerdo: Su bandera es lo más.  big_smile

Phineas_3.jpg

¿Qué tipo de drogas se metían los diseñadores web en estos tiempos?
 
  Primera democracia o no, no parece quedar mucho de este glorioso pasado, es ahora un vulgar paraíso fiscal dónde lo que reina es el dinero sucio.
Los datos colectados han sido entregados a la periodista Emma Best que mantiene la plataforma ddossecrets para "lanzadores de alertas" 
El contenido ha sido bautizado "documentos Sherwood"
Emma best afirma que con más de 640 000 mails tenemos entre manos a una fuente única:

Emma Best escribió:

the most detailed look at international banking that the public will have ever had access to.

Además de esto Phineas encontró algo inesperado: Un audit muy detallado sobre un ataque informático sufrido un año antes.
Este ataque no era para desvelar documentos sino para robar dinero.
Teniendo esto bajo los ojos Phineas ha aprovechado la oportunidad para investigar un poco este tema.
  ¡El método funciona! big_smile
Ha sido de capaz de extraer "unos cienes de miles de libras" (Había que sacarlas de cien en mil en cien mil para no dar la nota, todos los detalles están en la guía)
Entonces se ha dicho que lo suyo sería crear una bolsa para los hackers que desvelen secretos sucios.
 
Un ‘Hacktivist Bug Hunting Program.” 
Se darán hasta cien miles dólares para un hacking de "interés público"
. La idea no es enriquecerse pero poder vivir de forma decente.
  Nadie mejor que Phineas para explicarse:

[ 14 – El Programa Hacktivista de Caza de Bugs ]

Me parece que hackear para conseguir y filtrar documentos de interés público es una de las mejores maneras en que lxs hackers pueden usar sus habilidades en beneficio de la sociedad. Por desgracia para nosotras las hackers, como en casi todo rubro, los incentivos perversos de nuestro sistema económico no coinciden con aquello que beneficia a la sociedad. Así que este programa es mi intento de hacer posible que lxs buenxs hackers se puedan ganar la vida de forma honesta poniendo al descubierto material de interés público, en vez de tener que andar vendiendo su trabajo a las industrias de la ciberseguridad, el cibercrimen o la ciberguerra. Entre algunos ejemplos de compañías por cuyos leaks me encantaría pagar están las empresas mineras, madereras y ganaderas que saquean nuestra hermosa América Latina (y asesinan a las defensoras de la tierra y el territorio que tratan de detenerles), empresas involucradas en ataques a Rojava como Baykar Makina o Havelsan, compañías de vigilancia como el grupo NSO, criminales de guerra y aves de rapiña como Blackwater y Halliburton, empresas penitenciarias privadas como GeoGroup y CoreCivic/CCA, y lobbistas corporativos como ALEC. Presta atención a la hora de elegir dónde investigas. Por ejemplo, es bien conocido que las petroleras son malvadas: se enriquecen a costa de destruir el planeta (y allá por los 80s las propias empresas ya sabían de las consecuencias de su actividad [1]). Pero si les hackeas directamente, tendrás que bucear entre una increíble cantidad de información aburridísima acerca de sus operaciones cotidianas. Muy probablemente te va a ser mucho más fácil encontrar algo interesante si en cambio te enfocas en sus lobbistas [2]. Otra manera de seleccionar objetivos viables es leyendo historias de periodistas de investigación (como [3]), que son interesantes pero carecen de evidencias sólidas. Y eso es exactamente lo que tus hackeos pueden encontrar.

Pagaré hasta 100 mil USD por cada filtración de este tipo, según el interés público e impacto del material, y el laburo requerido en el hackeo. Sobra decir que una filtración completa de los documentos y comunicaciones internas de alguna de estas empresas supondrá un beneficio para la sociedad que sobrepasa esos cien mil, pero no estoy tratando de enriquecer a nadie. Sólo quiero proveer de fondos suficientes para que las hackers puedan ganarse la vida de forma digna haciendo un buen trabajo. Por limitaciones de tiempo y consideraciones de seguridad no voy a abrir el material, ni a inspeccionarlo por mí misma, sino que leeré lo que la prensa diga al respecto una vez se haya publicado, y haré una estimación del interés público a partir de ahí. Mi información de contacto está al final de la guía mencionada antes [4].

Cómo obtengas el material es cosa tuya. Puedes usar las técnicas tradicionales de hacking esbozadas en esta guía y la anterior [4]. Podrías hacerle una sim swap [5] a un empresario o politiquero corrupto, y luego descargar sus correos y backups desde la nube. Puedes pedir un IMSI catcher de alibaba y usarlo afuera de sus oficinas. Puedes hacer un poco de war-driving (del antiguo o del nuevo [6]). Puede que seas una persona dentro de sus organizaciones que ya tiene acceso. Puedes optar por un estilo low-tech tipo old-school como en [7] y [8], y sencillamente colarte en sus oficinas. Lo que sea que te funcione.

[1] www.theguardian.com/environment/cli…
[2] theintercept.com/2019/08/19/oil-lob…
[3] www.bloomberg.com/features/2016-com…
[4] www.exploit-db.com/papers/41914
[5] www.vice.com/en_us/article/vbqax3/h…
[6] blog.rapid7.com/2019/09/05/this-one…
[7] en.wikipedia.org/wiki/Citizens%27_C…
[8] en.wikipedia.org/wiki/Unnecessary_F…

[ 14.1 – Pagos parciales ]

¿Eres una camarera de buen corazón que trabaja en una compañía del mal [1]? ¿Estarías dispuesta a introducir sigilosamente un keylogger físico en la computadora de un ejecutivo, a cambiar su cable de carga USB por uno modificado [2], esconder un micro en alguna sala de reuniones donde planean sus atrocidades, o a dejar uno de estos [3] olvidado en algún rincón de las oficinas?

[1] en.wikipedia.org/wiki/Evil_maid_att…
[2] mg.lol/blog/defcon-2019/
[3] shop.hak5.org/products/lan-turtle

¿Eres bueno con ingeniería social y phishing, y conseguiste una shell en la computadora de un empleado, o por ahí conseguiste sus credenciales de la vpn usando phishing? ¿Pero quizás no pudiste conseguir admin de dominio y descargar lo que querías?

¿Participaste en programas de bug bounties y te convertiste en una experta en el hacking de aplicaciones web, pero no tienes suficiente experiencia hacker para penetrar completamente la compañía?

¿Tienes facilidad con la ingeniería inversa? Escanea algunas compañías del mal para ver qué dispositivos tienen expuestos a internet (firewall, vpn, y pasarelas de correo electrónico serán mucho más útiles que cosas como cámaras IP), aplícales ingeniería inversa y encuentra alguna vulnerabilidad explotable de forma remota.

Si me es posible trabajar con vos para penetrar la compañía y conseguir material de interés público, igualmente serás recompensada por tu trabajo. Si es que no tengo el tiempo de trabajar en ello yo misma, al menos trataré de aconsejarte acerca de cómo continuar hasta que puedas completar el hackeo por tu cuenta.

Apoyar a aquellos en el poder para hackear y vigilar a disidentes, activistas y a la población en general es hoy día una industria de varios miles de millones de dólares, mientras que hackear y exponer a quienes están en el poder es un trabajo voluntario y arriesgado. Convertirlo en una industria de varios millones de dólares ciertamente no va a arreglar ese desequilibrio de poder, ni va a solucionar los problemas de la sociedad. Pero creo que va a ser divertido. Así que… ¡ya quiero ver gente comenzando a cobrar sus recompensas!

Ya lo sabeís todo sobre El Programa Hacktivista de Caza de Bugs
Podreís encontrar la guía completa en el leak de ddosecrets.
Fuente

¡Feliz hackeo! biere

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
449 181475 05-12-2019 12:41:42 por skan
3 218 05-12-2019 01:38:59 por USUARIONUEVO
Josep345 Tiene Fibra por josep345
18 2809 03-12-2019 14:30:46 por josep345
1 328 25-11-2019 18:16:15 por kcdtv
12 3360 22-11-2019 14:11:47 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Hassan akouas
Usuarios registrados conectados: 0
Invitados conectados: 9

Estadisticas de los foros

Número total de usuarios registrados: 1,695
Número total de temas: 1,364
Número total de mensajes: 13,709

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36