viernes, 5 de abril de 2019

Cómo montar la revolución proletaria informática [Suministros]

Seguimos con nuestra revolución y el post de hoy puede que sea la parte más importante, pues es donde podemos ganar o perder. Eso sí, requiere de una preparación por nuestra parte.


Aún no estamos atacando, pero sí que va a ser esta parte la más importante, ya que como se expone en "El Arte de la Guerra", unos buenos combatientes primero ganan y después batallan. Tenemos que basarnos en el engaño. Si somos capaces de atacar, tenemos que hacerles creer que no somos capaces; si estamos cerca, aparentar estar distnates,etc.

Así pues, tenemos que entender unos conceptos básicos antes de entrar en guerra:

  1. Doctrina. Es aquello que hace que los militantes (el pueblo) esté en armonía con su gobernante o, en este caso, la empresa. Por ejemplo unos salarios dignos.
  2. Tiempo. El cambio de estaciones, el paso de tiempo en general.
  3. Terreno. Son las distancias, indica a dónde es fácil o difícil desplazarse o acceder. En el caso de la informática esto se aplicaría a sistemas y directorios.
  4. Mando. Esto está pensado para los líderes, pero aquí tenemos que ir todos a una, por lo que tenemos que adquirir todos sabiduría, sincerdiad, benevolencia, coraje y disciplina.
  5. Disciplina. Organización del ejército, provisión de suministros,etc.

Otra parte muy importante, es poner cebos, lo que nosotros conocemos como honeypots para así atraer al enemigo a donde nosotros queremos. Que el enemigo camine por el camino que nosotros estamos trazando, sólo así ganaremos. Si están organizados, vamos a desorganizarlos; si están unidos, sembremos la disensión entre ellos.

Tenemos que atacar cuando no están preparados, aparecer cuando no nos esperan, golpear cuando estén desordenados, un desorden que hayamos creado nosotros.

Para esto, primero que hay que ser un sabio del orden para crear un desorden artificial. Y no nos equivoquemos, tenemos que saber medir, sólo así se gana.

Los triunfos vienen  de aquellos que:

  1. Saben cuándo luchar y cuándo no
  2. Saben cuándo utilizar muchas tropas y cuándo no.
  3. Cuyos rangos superiores luchan todos por un mismo objetivo
  4. Se enfrentan con preparativos con preparativos a enemigos desprevenidos.
 Tenemos que hacernos invencibles, y para eso tenemos que conocernos a nosotros mismos y aguardar al enemigo es conocer al enemigo, y eso es clave para ganar, identificar y conocer al enemigo.
 
La invencibilidad está en uno mismo, la vulnerabilidad en los demás.  Es por esto que tenemos que tener más suministros que el enemigo y para eso tenemos que conocer el terreno y estar organizados.

Para saber dónde atacar al enemigo, primero tenemos que identificarlo y conocerlo. No podemos saber dónde se le hace más daño al enemigo si no lo conocemos como a nosotros mismos, sólo así podremos desordenarlos en caso de que estén ordenados.

Esta es la preparación, pero con la preparación podemos ganar sin combatir, recordemos que los buenos combatientes ganan primero y combaten después. Por eso cada combate en cada empresa es distinta, cada una tiene unas debilidades, aunque normalmente todas tienen un bien preciado, que de perderlo o simplemente dañarlo puede acarrear grandes pérdidas. Ahí tenemos que atacar.

En informática lo tenemos fácil, y más si es en nuestra propia empresa y somos SysAdmins, nadie se espera el ataque, ahí es donde tenemos más probabilidad de éxito. Nosotros somos quienes controlamos el terreno, hemos llegado primero a la batalla, por lo que ya tenemos mucho a favor y recolectamos los suficientes suministros.

Por poner un caso, imaginemos que tenemos una empresa que venda productos online, obviamente el servidor con la base de datos es el bien más preciado, de caer, caerían clientes y seguidamente su confianza en la empresa.

Partimos de la base que hemos utilizado Proletary para saber si están cumpliendo con nosotros el Convenio Colectivo. Ahí ya estamos dando armas y, además, viendo si se cumple o no el Artículo 37 de la Constitución Española.


Pero ¿Qué pasaría si cumpliesen el Convenio Colectivo? ¿Nos quedaríamos bloqueados y tendríamos que dejar la rebelión? NO, tenemos ahora que seguir un poco más y ver si se cumple el Artículo 35 de la Constitución y el Artículo 23 de los Derechos Humanos.


Es decir, que con el sueldo que recibamos, tenemos que ver si con ese salario podeos vivir nosotros y nuestra familia (pareja e hijos). En caso de no llegar a final de mes, se estarían vulnerando estos derechos fundamentales, y ahí nos tenemos que agarrar como perro rabioso. No podemos soltar ese hueso, ya que es lo que nos va a permitir luchar a nosotros bajo la ley y a nuestros enemigos fuera de la ley.


Y si no se cumplen los Derechos Humanos, camaradas a la rebelión. Con paso firme y sin detenernos. Volvamos pues a nuestra tienda.

Si somos los Sysadmins, podríamos tener acceso de root y podríamos saber si se están haciendo o no copias de seguridad de la base de datos. De ser así, tendremos que irnos a por la base de datos, pero recordemos que tenemos que basarnos en el engaño, tenemos que hacer creer a nuestro enemigo que estamos inmóviles, que no estamos haciendo nada, por lo que lo mejor será hacer una backup con mysqldump o pg_dump y enviarnos esa backup a nuestro equipo.


Hacemos esto porque, en primer lugar, no es ideal hacer las queries desde el servidor que vamos a atacar y dentro de la base de datos que vamos a atacar. Además porque así no dejamos rastro pues, la copia de seguridad se asume que es nuestro trabajo y por tanto ese acceso mediante SSH también se justifica en caso de que analicen logs. Encima solamente se almacenará en nuestra máquina personal ese login para hacer el scp, no en el servidor, por lo que conseguimos pasar bastantes desapercibidos. Aún así, como somos root y tenemos permisos para modificar logs, en caso de que nos expongan, podríamos borrar esa parte de los logs que nos exponen.

Por eso es importante controlar los medios de producción. Por eso no quieren que accedamos a los medios de producción, porque sería tener el poder.

Una vez que tenemos esa backup, nos la podemos pasar a nuestro Postges o a nuestro MySQL de nuestra máquina personal y ahí ponernos a lanzar queries.


Y esta parte es importante, ya que tendríamos datos de clientes. Con esto podríamos jugar y meter presión para ganar la batalla. Ojo, no digo exponer los datos, pero sí que se puede presionar con eso. No entraríamos en batalla a menos que haya entendimiento y ganemos sin batallar.

Todos sabemos que la fuga de información de datos de clientes siempre hace que una empresa pierda prestigio, si encima pasa con una pequeña y mediana empresa, esa pérdida de prestigio podría suponer el final de esa empresa. Primer mecanismo de presión, hecho.

Recordemos que tenemos control de los servidores, por lo que al igual que acceder a datos, podríamos borrar pero, atención, si hay más sysadmins, o se nos unen o podemos eliminar sus cuentas y la de cualquier otra persona que pudiese acceder y tenga los suficientes permisos para hacer backups. Aquí empezamos a golpear, tenemos que ser nosotros quienes controlemos todos los servidores.

La Guerra se estaría desarrollando y nosotros podríamos hacerla desde nuestra casa y conectados mediante una VPN. Y aviso que podría ocurrir que, para evitar problemas, apaguen los servidores, ya que nosotros no estaríamos en el CPD. Pero tenemos que tirar de engaño, ya lo he dicho, tenemos que hacer creer que no tenemos nada contra ellos...pero todo lo contrario, antes de dar cualquier paso que desencadene esta guerra, tenemos que hacernos con todos los datos posibles y almacenarlos en nuestros equipos personales con copias de seguridad en varios dispositivos externos.

Así provocaríamos el doble de daño, uno por verse obligados a apagar los servidores y otro por precisamente apagar los servidores y tener nosotros los datos en nuestros equipos personales.


Y ojo, que no nos estaríamos saltando ninguna ley, ya que el Artículo 129.2 dice que se tiene que garantizar el acceso de los trabajadores a los medios de producción.

Ya hemos atacado el presente y el pasado de una empresa, puede parecer suficiente, pero tenemos que ir más allá y atacar el futuro. Si conocemos a la empresa, tenemos que adivinar cuál será el siguiente movimiento empresarial para adelantarno y estar allí presentes antes que ellos.

Esto puede ser más complicado y varía en función de la empresa, pero como he comentado antes, podemos hacer nosotros el camino por el que la empresa camine. Si sabemos controla los sistemas, podríamos proponer crear una herramienta de monitorización de sistemas para posteriormente venderlo.

Por supuesto tenemos que controlar ese proyecto, si se nos escapase tendríamos alguna probabilidad de perder, no podemos dejar que se agarren a nada. Si hacemos eso, la victoria será clara, y sin combatir.

Muchos de vosotros podéis llegar a pensar si está justificado controlar datos de clientes y amenazar con publicarlos y controlar los servidores imposibilitando un buen uso a los usuarios. Se entiende, pero así es la Guerra, así es una manifestación, sino molesta a nadie, no es exitosa.

Además que estaríamos dejando el balón en su tejado, dependerá del enemigo nuestro siguiente movimiento. Si se niegan, los datos se filtrarán y los servidores perderan datos (aunque tengamos la carta de las copias de seguridad que nos hemos guardado, pero eso no deben saberlo, y si lo saben, esas copias están en nuestro poder, nosotros tenemos el control).

Llegados a este punto, tendríamos la victoría, pero aún nos queda un poco más de camino que recorrer y que crear, pero eso ya será en otros posts.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...