Enero 10, 2018

Qué es y Cómo Funciona HackedAlert.com

Varias personas me han preguntado acerca de qué es y cómo funciona o funcionará HackedAlert.com, así que en vista del interés, trataré de explicarlo en detalle.

No obstante, debo aclarar en primer lugar, que HackedAlert.com es un proyecto de growth hacking, y lo es taxativamente, por lo tanto, si fracasa como idea comercial pese a sus aspectos non profit, lo cerraré y seguiré con otras ideas, ya que de eso se trata: idear, experimentar, y dar vuelta la página en caso de no llegar a buen puerto.

La semilla de HackedAlert.com

El alma de HackedAlert.com se viene gestando desde hace muchos años, en los cuales tenía casi nulos conocimientos de programación o skills más acabados sobre seguridad informática (después de salir de la enseñanza media). Con el paso del tiempo, mientras me introducía en el mundo blackhat, uno de los tantos sitios web que siempre llamaron mi atención fue Zone-h.org, así que me atrevo a decir que es una las primera influencias.

Muchos años después, cuando ya finalmente dejé todo lo relacionado al mundo blackhat (2014), el concepto de lo que quería hacer fue tomando forma. Lo conversé incluso con varias personas, pero ninguna de ellas sintió el proyecto en su corazón como para ayudarme a concretarlo o formar parte del proyecto en ese entonces, cuando la idea era un cúmulo de hipótesis técnicas acerca de cómo construir o programar un script que buscara vulnerabilidades informáticas, las verificara, las almacenara, y posteriormente contactar a los afectados para “ofrecer servicios de ethical hacking”.

Es de marras que a nadie le gusta que un desconocido aparezca hablando acerca de tus defectos, y más encima hable de cobrar por corregirlos; creo firmemente en lo que varias personas me dijeron, en diferentes situaciones y contextos, a modo de consejo: “(…) tenemos comprobado que así no es posible hacer negocios (…)”.

Ya había comprado en 2015 el dominio alertaweb.cl (anteriormente usado por VTR y actualmente disponible en caso de que alguien quiera hacer linkbuilding redireccionando el dominio a otro o creando un nicho de marketing para seguridad informática) e incluso me había contactado con varias personas importantes del mundo de la seguridad para contarles acerca del proyecto “Alerta Web” así que dejé de pagarlo y me olvidé por un tiempo, ya que la idea no tenía pies ni cabeza, como dicen por ahí.

Y así pasaron 2 años, en los que me dediqué casi 100% al growth hacking, y la alta carga de trabajo no me dejaba avanzar. Esto dió espacio para repensar las cosas, en cómo materializaría todo, porque el tiempo se hacía escaso y ni siquiera había programado realmente un script que hiciera el trabajo tal y como yo lo quería.

Manos a la obra

En 2016, cuando ya finalmente tenía frente a mí un script que automatizaba el proceso de búsqueda y almacenamiento de contenidos web puse manos a la obra; no verificaba las fallas, pero era un buen comienzo. Primero, debía verificar un nombre de proyecto que estuviera disponible como dominio y usuario en redes sociales, con el objetivo de crear algo uniforme. Para este fin recomiendo utilizar la herramienta Namecheck https://namechk.com/ super útil cuando se trata de una estrategia que requiere de rapidez y limpieza a la hora de situarse en el mercado de Internet.

Luché durante varias semanas contra la compra y reventa desmedida de dominios premium, hasta que encontré el nombre ideal: “HackedAlert.com”; pero, lamentablemente, Facebook no permite registrar el usuario @HackedAlert y, pese a ello, decidí continuar.

Para el usuario de Twitter utilicé una cuenta que ya había creado anteriormente (la cual ganó más de 1,000 followers por haberla creado en el momento correcto) para experimentar con la suplantación del grupo Guardians of Peace (GOP), y así fue como logré que Kevin Mitnick sea, hasta el momento, uno de los followers estrella de @HackedAlert en Twitter, una vez que cambié el nombre de usuario. Mucha gente que habla de growth hacking olvida utilizar la creatividad, por más sencilla que sea…

El Script PHP Multiuso (sí, PHP)

Y así, sin logo ni consigna, me aventuré a seguir mejorando el script. Estaba seguro de que debía funcionar dentro del sitio web y almacenar todo en la base de datos, pero tratarían de hackear la web así que mejor procesaba todo con alimentación desde archivos XML… No, el script no debía estar alojado en la web bajo ninguna circunstancia, para evitar hackeos. Además, como se trata de un proyecto comercial, no me conviene publicar ni exponer el código fuente, es como si Telepizza publicara la receta de su masa.

Por otro lado, percaté que tenía frente a mí un script que podría utilizar para diferentes objetivos: SEO, Google AdWords, etc. Pensé: “(…) Si no funciona HackedAlert, podré materializar otras ideas (…)“. Incluso, personas ajenas a la seguridad informática mostraron interés en el script, porque podría emular ideas comerciales como MOZ y otros.

En la práctica, el script trabaja con las búsquedas de Google, Bing y Yahoo! y, en el caso de Google, incluso, logra saltar el reCaptcha de Google al realizar busquedas avanzadas de manera reiterativa, porque procesa, en una sola petición o consulta, más de 500 resultados por vez. Estaba feliz. Muy feliz. Extremadamente feliz, porque procesar las búsquedas de Google de manera automatizada para el fin que quisiera teniendo como límite sólo mi imaginación no es reinventar la rueda, pero sí alcanzar de alguna forma a otras empresas que ya lo habían hecho de manera un poco más eficiente.

Bug Bounty Program, 0 Days y otras yerbas

En medio de todo eso, dejé que el proyecto tomara raíces para crecer y madurar (cómo presentarlo, qué mostrar concretamente en el sitio, etc.), y de manera inesperada, comenzaron a llegar preguntas al respecto: “Joshua, ¿cuándo publicarás HackedAlert.com?”, “¿Y qué pasó con HackedAlert.com?”, “¿Cómo funcionará?”, “¿Puedo verlo?”. Pasó de no tener pies ni cabeza, a generar interés.

En este mismo contexto, me debatía en ideas relacionadas a la venta de 0 days, claramente no son lo mismo que las vulnerabilidades informáticas en aplicaciones web, hasta que me topé con el sitio https://www.openbugbounty.org/, en el cual se recomendaban recomenpensas a quienes notificaban fallas de tipo XSS y, motivado por el desafío intelectual de un colega del rubro que me hizo en redes sociales acerca de mi actuar en los aspectos de seguridad, decidí adentrarme y probar con las plataformas de Bug Bounty Program.

De esta manera, saqué de mi baúl algunos problemas de seguridad con la tarjeta Presto de Líder que tenía desde hace mucho tiempo, y los reporté a través de Bugcrowd, y fui recompensado monetariamente por Walmart tras reportar y certificar técnicamente fallas en el sistema de pagos online con XSS, inyección de HTML, fuzzing de tarjetas de crédito, y reenvío de comprobantes de pago por email.

Así mismo, ya conocía a las empresas que comercializaban 0 Days en software y otros aspectos, así que me cuestioné todo, si ellos pueden vender y comprar, y yo mismo había logrado vender las fallas de Walmart a través de Bugcrowd bajo la figura de un programa de Bug Bounty, ¿por qué no puedo hacerlo yo, ya que no existen programas de recompensa a nivel gubernamental y privado en Latam?

Otros proyectos de comercialización de vulnerabilidades informáticas que puedo catalogar como influencias,

  • https://www.zerodium.com/
  • https://0day.today/
  • http://www.zerodayinitiative.com/

Gobiernos (Estados), Empresas, y Non Profit

En toda la información que he visto procesada, identifiqué 3 categorías: Gobiernos, Empresas, y organizaciones que no son monetizables. De esta manera, en HackedAlert.com se pondrán a la venta las vulnerabilidades en aplicaciones web de la mayoría de los Gobiernos o Estados de Latam, relegando a las empresas para contacto privado en esta primera etapa “beta”, mientras que todas las organizaciones consideradas como non profit, recibirán apoyo y soporte sin costo para sobrellevar los problemas de seguridad que tengan.

En cuanto lo considere necesario, también se abrirá la venta de vulnerabilidades del sector privado.

Pastelero a tus pasteles

No serán publicados los nombres de los ministerios y tampoco el detalle de las fallas; se dará un tiempo razonable de 30 días a contar de la publicación del sitio y/o la notificación formal que será enviada vía email para que cada Gobierno reclame la información correspondiente a su país, y después de eso, la venta será totalmente abierta, es decir, podrán ser adquiridas por cualquier persona o ente.

Reclamación y venta de la manera más fácil

Olvídense de registro de usuarios y uso de contraseña, quiero entregar el mayor nivel de seguridad y confianza a quienes realicen el proceso de reclamación y/o compra. Sólo será posible llevar a cabo esto a través de email cifrado con cuenta free de Protonmail.com y de cuentas de email que usen los MX de este mismo proveedor.

Formatos de entrega

Tendremos dos formatos de entrega de información para el proceso de reclamación y compra: informes de estado e informes de auditoría; el primero, corresponde a todo lo que ha sido vulnerado y que no está listado en sitios como Zone-h.org, y el segundo, a la comprobación de la brecha de seguridad y entrega de información.

How much?

El avalúo de cada cosa será realizado acorde al mercado, es decir, en base a la comercialización que se hace de todo dentro del mundo de los Bug Bounty Program, por lo tanto, no habrá especulación.

Full disclosure e Inbound Marketing

Con el objetivo de captar tráfico y ayudar a la comunidad en general a obtener libre conocimiento acerca de problemas de seguridad públicos, se hará uso del full disclosure como vía.

Es necesario que el mundo conozca las fallas informáticas que aquejan a empresas, gobiernos y otras organizaciones, sin necesidad de realizar una POC, porque muchas de ellas son públicas pero no conocidas, porque nadie las destaca.

Así mismo, se publicarán de manera gradual y constante, los hackeos a sitios web que tienen relación con el aspecto non profit de HackedAlert.com para ayudar a esas organizaciones a conocer sus problemas, corregirlos a la brevedad y hacer uso del soporte sin costo que prestaremos como ayuda para ese mismo fin.

Hall of Fame & Venta de Brechas de Seguridad

Quiero contribuir a la comunidad de la manera más correcta posible, así que quienes encuentren vulnerabilidades informáticas en HackedAlert.com serán publicados como ethical hackers recomendados.

Además, quienes quieran comercializar vulnerabilidades informáticas web que no estén listadas en la base de datos de HackedAlert.com y comprueben que no hayan hecho mal uso, tendrán las puertas abiertas del proyecto para monetizar.

Por otro lado, tengo pensado crear un programa de recompensas propio de HackedAlert.com, pero sólo se podrá materializar si el proyecto en sí se monetiza, obvio.

Es de amplio conocimiento que en Latam no existe una cultura de seguridad real por parte de los gobiernos y el sector privado: cuando alguien encuentra un problema de seguridad y el profesional notifica el problema, no es tomado en cuenta, la fallas no son corregidas, y un extenso etcétera en donde ni siquiera las empresas o representantes de las instituciones dan las gracias por el favor, y en el peor de los casos, son llevados ante la ley, tal como pasó con Gino Rojas Tilleman y Chilecompra. Pónganse la mano en el corazón: ¡quien les notifica un problema de seguridad está haciendo el trabajo por ustedes!

Cuenta regresiva

Por todo lo anterior, realicé un prelanzamiento de HackedAlert.com en Mayo de 2017, y una presentación del proyecto en Agosto de 2017.

Ahora, todo se vuelve más inmediato, y por esta razón será lanzado dentro de Enero 2018. El día y la hora no están definidos, pero será pronto, muy pronto.

Para terminar, quiero agradecer de todo corazón a quienes me apoyaron revisando el código fuente del script, a las cientos de personas que se registraron en el formulario de aviso para el lanzamiento, a quienes creyeron en la idea y me apoyaron de buena fé; gracias también a quienes se empeñaron en chaquetear, porque como pueden ver, acá estoy aún. Soy incansable.

¡Feliz 2018 a tod@s!

 

 

 

 

Asegura tu Empresa Con
Trabajo SEO en Progreso…
Skin Color
Layout Options
Layout patterns
Boxed layout images
header topbar
header color
header position