Hacker amenaza con revelar el 100% de los informes de una de las certificaciones más reconocidas entre los hackers: La OSCP. Según indica el atacante, busca un cambio positivo para que se actualicen las máquinas de examen. El mercado de la Ciberseguridad se ha vuelto enorme, conforme a los avances de la tecnología. Con este […]
Hacker amenaza con revelar el 100% de los informes de una de las certificaciones más reconocidas entre los hackers: La OSCP. Según indica el atacante, busca un cambio positivo para que se actualicen las máquinas de examen.
El mercado de la Ciberseguridad se ha vuelto enorme, conforme a los avances de la tecnología. Con este crecimiento han debido surgir estándares, de modo de tener un mercado más ordenado. Hoy existen estándares de todo tipo, y junto a ellos, certificaciones que aseguran que aquellos estándares se cumplan.
Dentro de la industria de la seguridad informática existen un sinfín de roles, y para determinar la elegibilidad de sus especialistas, así mismo, han surgido múltiples certificaciones, que son valoradas en el mercado laboral dependiendo de un sinfín de factores.
Los hackers también se han visto sujetos a estas estandarizaciones, por contradictorio que parezca. Tal vez deje de parecerlo si consideramos que cualquiera se puede autodefinir como desee, que no se puede ser lo que se desconoce, y que no todos hablamos los mismos idiomas. Las certificaciones, entonces, actúan como convencionalismos.
Una de las más reconocidas certificaciones entre los hackers es la OSCP u Offensive Security Certified Professional (Profesional de Seguridad Ofensiva Certificado), que entrega Offensive Security, compañía que, entre otras cosas, desarrolla, distribuye y mantiene Kali Linux, la distribución de Linux orientada al hacking. Son una compañía bastante respetada entre los hackers, pues su contribución a la seguridad informática ha sido inmensa.
La razón de la excelente reputación de esta certificación, la ideal para los Red Teams, es su altísimo componente técnico, su orientación a las capacidades ofensivas y su dificultad. El examen de la OSCP, además, se rinde bajo condiciones estrictas. Es un examen práctico, en donde se trabaja sobre ambientes virtuales preparados para él y es proctorado: Se rinde con una webcam encendida y pantallas compartidas, para verificar que quien lo esté rindiendo sea realmente quien dice ser, y de limitar las posibilidades de fraudes. El examen es uno de los más difíciles de la industria y la tasa de reprobación es alta. Offensive Security dice que deben “esforzarse más” e instan a sus alumnos a “Try Harder!” (Incluso con un rap).
Este 23 de enero de 2019, un hacker amenazó con filtrar todos los detalles de los ambientes virtuales que sirven como escenario para el test, algo así como publicar el examen en la internet, tuiteando que
Voy a filtrar descripciones de las máquinas para el examen OSCP porque alguien tenía que hacerlo, por el bien de todos.
El tuit incluía un link a su página web. En ella detalla su motivación para la revelación de los detalles del examen y envía mensajes a los interesados. El post está protegido con una contraseña, pero si se esfuerzan un poquito pueden acceder a él. Si no lo logran, no hay problema. Para eso estamos.
Cyb3rsick explica que desea que la OSCP sea justa para todos. Habla de su dificultad para obtener la certificación en 2012, especialmente al no haber muchos recursos disponibles en aquel entonces. Hoy en día, incluso con la abundancia de material de estudio e información, dado que Offensive Security no actualiza las máquinas de examen, muchas personas hacen trampa y aprueban el examen. El hacker no quiere que la OSCP se convierta en una nueva CEH (Certified Ethical Hacker), certificación con una mala reputación entre los hacker experimentados.
Cyb3rsick dice que contactó a Offsec informándoles de varias peticiones de suplantación, mentoría o descripción de las máquinas en las que se rinde el examen, de las que se enteró, a fin de que tomaran cartas en el asunto, pero Offsec ignoró sus mensajes.
Es por eso que decidió hacer públicos los informes del 100% de las máquinas en las que se rinde la prueba. A Offsec no le quedaría otra que renovar las máquinas. “Al menos hice mi mejor esfuerzo”, dice Cyb3rsick.
Envíale un mensaje privado (o directo) a Cyb3rsick.
Es su oportunidad para certificarse y convertirse en el acreedor de una de las certificaciones más bacanes, así que apúrense y apúntense para el examen ya.
Ahora lo saben.
Han añadido gran valor a la comunidad. No lo arruinen ahora
El post tiene una sección de comentarios, y algunos de ellos solicitan las contraseñas de las publicaciones de las máquinas, algunos confiesan que han sido testigos de que sí existen estos fraudes, e incluso uno de los mensajes dice que “yo mismo se lo he resuelto (el examen) al menos a 3 personas, sin siquiera yo tener el OSCP. Lo he resuelto para 2 indios, 1 europeo y fallé para un indio, y ayudé a una pareja”
El mismo 23 de enero Offsec tuiteó: “Estamos en conocimiento de una situación desafortunada en la que un estudiante está amenazando con filtrar respuestas a nuestros exámenes OSCP. Esto es contraproducente y decepcionante, dañando a nuestros estudiantes antiguos y actuales. Tomamos la integridad de del proceso de nuestro examen muy seriamente y haremos lo que sea para protegerlo”
La respuesta de la comunidad de la infosec fue apabullante, mostrando su desaprobación absoluta por las amenazas de Cyb3rsick.
A mí me llama la atención el “haremos lo que sea para protegerlo”. Si hay alguien con quien no me gustaría meterme es con un grupo de hackers altamente capacitados…
Más tarde,
“Queremos agradecer a la comunidad por el fuerte apoyo el día de hoy. Nos vuelve humildes, Gracias. Queda asegurar que estamos tomando medidas para asegurar que la integridad del OSCP se mantiene fuerte. Las máquinas filtradas están fuera de rotación y nadie que esté rindiendo el examen será impactado. Continuaremos actualizando.”
“Ohmaigá, por qué están todos exagerando en torno a esto y por qué demonios hay tantas personas con un IQ más bajo que cero, tratando de actuar como si apoyaran a Offensive Security, sin haber siquiera leído el maldito post. Mi mensaje fue claro. No odio a OSCP y por supuesto que no quiero arruinar el certificado de ninguna forma.” (…) “Sólo quería asegurarme que Offensive Security recibió el mensaje esta vez y veo que lo hicieron, así es que en vez de amenazarme, ocupen bien su tiempo actualizando sus máquinas para el examen, que ya están siendo compartidas por otros en todos los medios. Honestamente no me importan un carajo los comentarios negativos, amenazas, blablablá, ok?” (…)
Posteriormente Cyb3rsick publica una supuesta queja recibida por infracción al copyright del material, realizada por el departamento legal de Offsec
Sin más, Cyb3rsick ha dejado todo el Offsec-drama atrás y se ha dirigido hacia otro objetivo: quienes quieran obtener una reputación como BugHunters o cazadores de vulnerabilidades. Cyb3rsick ofrece un atajo a todos los novatos que quieran escalar su nombre como cazadores de vulnerabilidades, sin tener que hacer ningún esfuerzo. Literalmente, sin tener que mover un dedo.
Los programas de caza de vulnerabilidades son cada vez son cada vez más publicitados, y en ellos se ofrecen sumas de dinero (muchas veces, millonarias) a investigadores que las reporten. Estos programas son un excelente incentivo para los hackers que investigan independientemente, y una excelente instancia para que las compañías obtengan apoyo de expertos. Recientemente se han creado listas en las cuales se “compite por el trono” en diferentes plataformas. Algunas de ellas han sido duramente criticadas por la comunidad de la infosec por establecer una categorización que no halla sustento en la realidad.
Aun así, muchas de estas listas sirven como antecedente a la hora de solicitar empleo de manera formal, y es la confianza en estos tipos de referencias la que se cuestionaría en caso de que lo que ofrezca Cyb3rsick fuese cierto.
Sin duda todo esto levanta dudas y sospechas de todo tipo, como además, los más bajos instintos de los tramposos. No faltarán los que caerán ante la tentación de tomar el camino fácil para conseguir una de las certificaciones más deseadas de la industria. Esto es, si te importan ese tipo de convencionalismos.
Offensive Security explicita en su página web que “Los estudiantes o exalumnos que son sorprendidos haciendo trampa, compartiendo materiales de cursos, informes de exámenes, soluciones de exámenes o utilizando su certificación para participar en prácticas no éticas tendrán sus certificados revocados y recibirán una prohibición de por vida de cualquier curso u oferta futura por parte de Offensive Security. Dependiendo de la naturaleza de la ofensa, los estudiantes también pueden enfrentar repercusiones legales por sus indiscreciones. Tenemos una política de tolerancia cero para los tramposos.”
El 23 de octubre de 2018 se emitió un instructivo presidencial con directricres relacionadas con ciberseguridad. Este documento, instruye a las instituciones de gobierno a ejecutar ciertas actividades relacionadas con evaluciones de riesgo, vulnerabilidades y estado actual de seguridad.
Apenas se publicó la Prueba de Concepto (PoC) de estos exploits, el pasado viernes hackers maliciosos comenzaron a aprovecharlos, por lo que se hace indispensable parchar tus dispositivos.