#hacktivismo

http://www.guerrillagrafters.org/

In their own words, “the [Guerrilla Grafters] graft fruit bearing branches onto non-fruit bearing, ornamental fruit trees. Over time, delicious, nutritious fruit is made available to urban residents through these grafts. We aim to prove that a culture of care can be cultivated from the ground up. We aim to turn city streets into food forests, and unravel capitalist civilization one branch at a time.” Although the group operates primarily in California, their projects are global.

Caris ❤️

Sentimos estos meses de ausencia, la pandemia ha sido dura para todas. Pero para compensar os traemos una nueva acción. Y de las grandes, además.

Agarraos que despegamos.

A partir de mañana arranca en Madrid la Feria Internacional de Defensa y Seguridad (FEINDEF), el "foro de referencia que engloba al sector de defensa y seguridad en España, para innovar, cooperar internacionalmente y compartir el conocimiento entre empresas, instituciones, universidades y otros organismos, como respuesta global a la Seguridad" 😳

Veréis, es que tiene bastante gracia... es el foro de referencia en DEFENSA y SEGURIDAD del país, y hemos entrado hasta la cocina.

Españistán, queridas.

Pero hemos de decir que el problema no se lo podemos achacar a Defensa, ya que quien ha desarrollado el entorno digital ha sido el Grupo Metalia. Y por tanto, es Metalia la que nos ha dejado colarnos. A nosotras, que por suerte no matamos gatitos, y a saber a quién más... ¿De quién ha sido la idea de confiarle este proyecto al Grupo Metalia líder en metalurgia y n00b en ciberseguridad? 🤯

Y ojo, amigas, que efectivamente la feria no es asunto menor. Para las que no estéis enteradas, comentaros que entre sus asistentes están nada más y nada menos que los ministerios de defensa de Angola, Brasil, Colombia, República Checa, Egipto, Georgia, Grecia, Polonia, Gabón, Arabia Saudí, Serbia, Eslovaquia, Turquía, Ucrania y Emiratos Árabes, así como delegaciones oficiales de defensa de los Estados Unidos, Uruguay, etc

Pero continuemos...

El tema es que como llevamos bastante tiempo desaparecidas, más allá de nuestra aparición en el podcast de Código Fuente este último verano, y esta feria es un hito de muerte y destrucción, hemos pensado salir a la palestra con varias capsulitas de lulz que soltaremos por nuestra cuenta de Mastodon.

Y ya que hablamos de cápsulas... Aircraft Rescue, que ha presentado un proyecto (que por cierto, es finalista de la 2ª edición de la DSiB) titulado "Joint sistem of rescue and supply capsules applicable on aircrafts, large helicopters and space shuttles", ha escrito al Ejército de Tierra para concertar una reunión. Por supuesto, todo esto por la vía de comunicación interna ultrasegura (b2b, la nueva moda) que han dispuesto los desarrolladores de Metalia 😅

Ya le adelantamos desde aquí, Sr. Agustín, que aunque el Ejército de Tierra le ha respondido agradeciendo su propuesta y comunicándole que tiene la agenda a tope, no es del todo cierto. De hecho, tiene numerosos huecos libres y otras tantas peticiones pendientes sin rechazar. Los verdaderos amores del Ejército de Tierra son los de siempre: NAVANTIA, EXPAL, URO o INDRA. Esperamos no romperle el corazón. Vaya por delante que a nosotras su proyecto nos parece el mejor proyecto, o por lo menos, el único que se preocupa por proteger vidas en lugar de destruirlas. ¡Esperemos que gane! Aunque quizás eso nosotras ya lo sabemos 🤫

Los 10 proyectos seleccionados se lo han currado (unos más que otros)

Pero volvamos al lío, que nos dispersamos...

Que os echábamos de menos, y simplemente queríamos saludar a nuestra manera. No hemos querido ser intensas, así que de momento esto es solo el aperitivo. Hay otras cosas en referencia a la FEINDEF que están por llegar.

Y ahora, si nos lo permitís, adoptaremos por un momento un grado más de seriedad: este es un evento de compra y venta de materiales para masacrar a poblaciones enteras e individuos concretos si es necesario. Y se lleva a cabo en la capital del reino, en el famoso recinto ferial del IFEMA que, si echáis un vistazo rápido en Wikipedia, está formado por la Comunidad de Madrid (31%), el Ayuntamiento de Madrid (31%), la Cámara de Comercio (31%) y la Fundación Montemadrid (7%). Congrega a numerosos ministros de defensa y a multitud de empresas de muerte con fondos públicos que financian nuestros impuestos y, más especialmente, los impuestos de las vecinas de Madrid.

Estad atentas.

Os quiere,

La Nueve de Anon

CUESTIONADLO TODO

Dos, porque más sería insoportable. Hemos visto conferencias por streamer, leído tuits de empresas, soldaditos de juguete con perfiles llenos de banderitas, comerciantes de muerte de muy diverso pelaje y uniformes, muchos uniformes.

Hemos entrado en lugares donde la protección de datos brilla por su ausencia; hemos mandado newsletter a suscriptores de espacios donde se hace propaganda bélica y visto contraseñas como "estudiante", "Defensa", "amoralapatria" y otras. Alguna como aA1$europa nos abría las puertas de las webs de IDS y otras menos originales las de otros lugares 🤫

Lo hemos ido contando en el fediverso, en nuestra cuenta de Mastodon. En este Hilo

Sed cuidadosas ahí fuera

CUESTIONADLO TODO

Transcribimos la entrevista enlatada que hicimos para Código Fuente y que por razones obvias de seguridad no pudimos realizar de viva voz. Agradecer a todas aquellas personas y "personitas" que se han interesado por nosotras en este tiempo de pandemia. También mandar recuerdos al CCN-CERT que nos sigue fielmente por más que les pedimos que desistan de hacerlo 😅

Y por supuesto, darle a Epsy la enhorabuena por su nuevo proyecto y a Dabo las gracias por pensar en nosotras en su entrevista ❤️

Va la transcripción de la entrevista:

Identíficate

Somos La Nueve, una perspectiva finita dentro de un concepto mucho más amplio como es Anonymous que escapa a toda delimitación. No tenemos entidad ni certidumbre, tan sólo la duda que busca dotar de voluntad a la acción que escapa de toda lógica establecida. O dicho de otro modo: no somos más que un cuestionamiento que busca poner fin a tantas asunciones trasnochadas que perpetúan el imperio de la violencia insitucionalizada o capitalismo a través de Internet.

Usuario

Algunas, como el CCN-CERT, nos llaman la 9ª Compañía de Anonymous, pero nos gusta más 'La Nueve'.

Contraseña

J0d3t3F4ch4

¿Cómo explicarías que significa la palabra "Libertad" a un alienigena?

Después de darle alguna vuelta, hemos convenido que primero tendríamos que saber qué sistema de comunicación utiliza el alienígena en cuestión. El pensamiento está atravesado y determinado por el lenguaje, igual que nuestras acciones en Internet lo están por distintos códigos que no podemos obviar. De hecho, a eso jugamos, ¿no? A explorar las posibilidades de los diferentes lenguajes poniendo nuestra mirada en sus consecuencias tanto teóricas como prácticas, que se traducen precisamente y nada menos que en diferentes formas vida. Por otro lado, nos resistimos a situarnos en el antropomorfismo de pretender explicarle a un extraterrestre un concepto que aunque pretendamos otra cosa no deja de ser terrenal. En un supuesto encuentro con un alienígena no nos detendríamos a tratar de colonizarlo.

¿Qué le dirías a alguien que está empezando a comprenderla realidad digital que le rodea?

Si le interesa nuestra experiencia, le insistiríamos en que los códigos son fundamentales. La realidad digital son también códigos: lineas de programación escritas que las máquinas comprenden y a nosotras nos llegan ya traducidas convertidas en apps, programas, etc. Esos códigos pueden utilizarse de diversas formas y no todas "buenas", éticas o formadoras. No cuestionarse esa realidad digital que consumimos a diario sería un error a evitar.

Háblanos de algún proyecto que te resulte especialmente interesante

Seguimos admirando el trabajo y el tesón de los pueblos oprimidos en su resistencia como en el caso de Cuba, Kurdistán o Palestina, y por supuesto de movimientos como el zapatista, que ya ha sido mencionado en programas previos por su inestimable aportación a la lucha anónima como reflejo de una lucha colectiva sin fronteras identitarias. Y también, por qué no decirlo, sentimos un respeto inmenso por el trabajo de las compañeras de la PAH. Ellas han hecho más por la política de este país en los últimos diez años que todos los partidos políticos de izquierdas juntos. Éstos solo recogen los frutos del trabajo que se hace a pie de calle, y encima cobran por ello.

¿Qué debe saber quien dice que "no tiene nada que esconder"?

No hace falta saber nada, sino simplemente hacerse preguntas. Sin embargo, no siempre es fácil dar con las preguntas adecuadas para un cuestionamiento radical, que vaya a la raíz de los problemas. En este caso puede ser interesante leer a Edward Snowden, quien dice que no preocuparse por el derecho a la privacidad por no tener nada que esconder es como despreocuparse del derecho a la libertad de expresión por no tener nada que decir. También a Julian Assange, que desde un punto de vista más político plantea cómo todo ese conocimiento se traduce en poder. ¿Poder para quién?, podríamos preguntarnos. ¿Y con qué fin? La pregunta no es qué tienes tú que esconder, tu ego no le interesa absolutamente a nadie. La pregunta camina más en la línea de por qué quieren saberlo.

Cuénntanos alguna anécdota "hacker", tuya o no, que haya o no prescrito.

¡Prescripción! Jajaja, ardua y desagradable palabreja que implica que estamos libres de responsabilidad penal. Nuestras letradas nos aconsejan no entrar en terrenos pantanosos, pero la mayoría de nuestras acciones son de dominio público: El Corte Inglés, Agencia EFE, Capio, AvalMadrid, Vox, La Moncloa, El Valle de los Caídos, Partido Popular, Inditex, Banco de Santander, Ausbanc, Cedro, SGAE, Acciona, Indra, Sindicat de Mossos d'Esquadra, Intereconomia, 13TV, Fundación Jose Antonio, varias Cámaras de Comercio... Creemos que tratándose de nosotras y no del PP seguirá habiendo vigencia penal en muchas de ellas. Pero podemos contar que cuando accedimos a los servidores de iDental tuvimos largos debates para ver si nos cargábamos todas las deudas de sus clientes o les íbamos haciendo pagos y rebajas a plazos. La opción menos cantosa fue la que al final se impuso. También disfrutamos lo nuestro con la filtración de la liposucción de Margallo o jugando con el IOT en las aguas de Navarra, donde tuvimos acceso directo a los mandos de control.

¿Qué opinas del periodismo, de Julian Assange y de Wikileaks?

Consideramos que el periodismo ha cambiado desde Julian Assange, pero no sólo por el fenómeno WikiLeaks. Assange abrió un camino muy interesante de la mano de la democratización tecnológica, sin embargo el periodismo ha ido por otros derroteros muy distintos. Lejos de popularizarse, se ha institucionalizado con más fuerza si cabe. Y no lo ha hecho sólo el periodismo, sino el conjunto de Internet. Estamos en un momento de contradicción en torno a Internet. Por una parte, su accesibilidad sigue ampliándose a diario, pero por otra, cada vez viene más determinada. Sin embargo, no hay código capaz de contener una idea. Y ahí es donde entran las fake news, la antítesis del periodismo de Julian Assange comprometido con una verdad de carácter científico (derivada de los propios datos). Lo que pretenden las fake news es precisamente manipular las ideas.

¿Cuales son las herramientas de hacking que consideras imprescindibles?

Si por herramientas tenemos que entender aplicaciones de software, ya sean de código abierto o privativo, las que nos resultan imprescindibles en el hacking actual son las que cualquier distribución de seguridad informática facilitan. Podemos nombrar Kali, Parrot, Tails, etc. Siempre Linux, aunque existen herramientas privativas onerosas y potentes que son las que más utilizan las empresas que se alimentan de la ciber(IN)seguridad: Acunetix, BurpSuite en su opción comercial, etc. Pero por encima de todas: la imaginación y curiosidad que proporciona conocer un lenguaje de programación que facilite investigar aspectos no tan visibles ni previsibles en el control de vulnerabilidades. El fallo humano sigue siendo la mejor herramienta de hacking posible. En un futuro no demasiado lejano, con el desarrollo de la informática cuántica y la biometría aplicada, cambiará mucho el panorama de la ciber(IN)seguridad, pero el error humano seguirá estando ahí igual que seguirá existiendo el ingenio y ese espíritu juguetón del que habla Stallman. Definirse como hacker resulta algo pedante en cualquier actividad y el hacking no es exclusivo de ingenirías o expertas matemáticas. El mejor hacking se practica en la infancia rompiendo juguetes, y más tarde rompiendo normas ;-)

¿Qué opinas de las criptomonedas?

Hemos tenido que darle varias vueltas a esta pregunta, pero todas coincidimos en considerar que alimentan una ideología tecnoutópica como pocas. Nuestra filosofía es cuestionárnoslo todo y no vamos a hacer una excepción en este caso. El concepto de las criptomonedas, por mucho que se vista de anarquista, no deja de ser neoliberalismo radical. Y del más ofensivo por su atrevida ingenuidad. Sólo desde los privilegios del primer mundo puede una autoengañarse con la utopía del socialismo libertario por medio del desarrollo de las criptomonedas. Sólo desde la ignorancia se puede confundir el concepto de libertarismo con el de liberalismo. Es materialmente imposible socializar los medios de producción manteniendo la propiedad privada.

Recomiéndanos un lugar, una película, un libro, una canción y unvideojuego

Por menos de esto cazaron a Ted Kaczynski.

Marca 3 objetivos clave para la Humanidad, que consideras debancumplirse antes de 2050

Sólo vemos uno: quitarse del medio del tablero. El planeta no precisa de la humanidad, pero la humanidad sí precisa del planeta. Un olvido como este es una sentencia de muerte que hace superfluo hablar de cualquier otro objetivo.

¿Qué significa para ti, ser hacker?

Romper códigos establecidos para idear otros nuevos. Cuestionarse los sistemas, todos los sistemas.

Ahora resulta que los ciberseguratas pueden ser hackers y guardianes del orden digital establecido al mismo tiempo, mercenarios de los poderes que ponen las barreras de lo bueno y lo malo según los intereses de unas pocas personas. ¡Es un oxímoron! Esta nueva definición de la RAE ha venido impuesta políticamente con el objetivo de criminalizar a quienes utilizan los conocimientos informáticos para la denuncia social y los abusos de las grandes empresas y de los estados. El término hacktivista ya tiene un apartado en los informes de los servicios secretos de todos los países. A quienes pagan, se les ayuda. Jamás se les puede ridiculizar, dejar en evidencia o reírse de sus falsas seguridades. El "espíritu juguetón" debe estar comprendido dentro de la legalidad como si fuera un chiste blanco de Jaimito. Pero proteger a los poderosos a expensas de quienes tienen menos poder es una ideología totalizadora como el fascismo.

¿Conoces alguna formación interesante para quienes comienzan en el mundo de la seguridad informática, la programación o las redes?

No. Romper cosas para hacerlo cada vez mejor hoy es un delito, con lo que nadie puede enseñar de esta forma. Esas cosas como los CTF o los juegos de empresa con el equipo rojo o azul, sumados a las prácticas universitarias o másters de ciberseguridad, sirven para hacerse perfiles en Linkedin o un currículum con los que optar a trabajos mal pagados, o para ganar popularidad en Twitter. En la programación, por otro lado, lo que viene mejor desde nuestro puento de vista es el estudio puro de los lenguajes sin ceñirse solamente a la OOP. Es necesario comprender los lenguajes de bajo nivel (Ensamblador) a pesar de su dificultad, si se quiere profundizar en aquellos otros que precisan de compiladores para su comprensión por las máquinas. Poco sabremos de programamos en Java, Phyton, C, C++, etc., si no entendemos el Binario.

Por cierto, ¿suena un arbol si cae en un bosque, pero no hay nadiepresente?

Depende de lo que entendamos por "sonido". Si nos ceñimos a su definición científica, el "sonido" son ondas que se propagan con independencia de que las oigamas o no. En este sentido, da igual que haya o no haya un oído para interpretarlo, bien podría valer cualquier otro sentido capaz de interceptarlo como el de otro árbol. Ahora bien, si la pregunta hace referencia a si hay sonido en el caso de que no haya ninguna posibilidad de percibir las ondas mecánicas... entonces, aparentemente no. Pero sólo aparentemente. De todos modos, no hay bosque sin árboles (y otros muchos seres vivos).

¿A quién te gustaría que le hiciéramos estas mismas preguntas?

A Jeremy Hammond. Estamos seguras de que es alguien que tiene muchísimo que aportarnos, y ya han tratado de silenciarlo durante un tiempo más que suficiente por medio de la institución disciplinaria por excelencia del Estado. De hecho, cabe señalar que Hammond fue expulsado de la Universidad de Illinois por mostrar a los administradores del Departamento de Ciencias de la Computación los puntos débiles de su página web y ofrecerse a solucionarlos. ¿Cómo señalar entonces alguna formación para quienes comienzan en este mundillo? En el ámbito informático el conocimiento no se premia, se castiga.

Termina la frase: Internet es una herramienta ¿para?...

Controlarnos a todas. A menos que seamos capaces de recuperar la autonomía de las redes, hoy monopolizadas por las grandes empresas.

¿Qué le dirías a tus enemigos?

Que no matamos gatitos.

Cuéntanos cual es tu filosofía de vida o algunas experienciaspropias que consideras importante compartir con la Comunidad

Nuestra filosofía de vida es cuestionarlo todo. Experiencias, como ente sin entidad, no tenemos.

¿Cómo y donde podemos encontrarte?

En Mastodon, Riseup, Tumblr, Protonmail, "Twitter"... y en el CNI ;-)

El final es tuyo. Dinos una cita que te gustaría recordar, unas palabras que quieras compartir o simplemente, despídete de quienes nos escuchan

No hay mayor irresponsabilidad que vivir de acuerdo a una sociedad previamente reglada, responder ante sus leyes predeterminadas, en las que se cree porque se confía, por una cuestión de fe, rehuyendo toda razón. Afirmar que necesitamos unas reglas de fábrica significa legitimar el imperialismo. Las reglas responsables son movibles, evolucionan a cada momento y se adaptan a los acontecimientos… Y esto, supone una hermosa labor. Una comprensión responsable.

*****

Volveréis a saber de nosotras antes de lo que creéis 😏

Inglorious /b/asterds

28 de noviembre de 2010:

The Guardian, El País, Der Spiegel, The New York Times y Le Monde empiezan a publicar los documentos diplomáticos de los Estados Unidos, conocidos como Cablegate y facilitados por Julian Assange, en un acuerdo sin precentes. 28 de noviembre de 2020:

Julian Assange es juzgado sin cobertura mediática.

****************************************************************************************** Regresamos con motivo del décimo aniversario de una de las mayores y más relevantes filtraciones de la historia, y para denunciar la persecución y las violaciones de los derechos sufridas por Julian Assange, fundador de WikiLeaks.

Tenemos que agradecer la enorme y desinteresada labor de los servidores de correo que nos han prestado sus medios para poder llegar a los centenares de miles de personas que irán recibiendo este humilde recordatorio. Gracias a las instituciones militares, policiales, universitarias... que tanto nos han ayudado con sus subscripciones a servicios de mail-bombing. Podríamos haber enviado un regalito adjunto, pero hemos optado por el texto plano para no levantar susceptibilidades 😝

La carta que hemos enviado (si es que no la habéis recibido) es la siguiente:

Hoy se cumplen diez años de una de las mayores filtraciones de la historia, la filtración de Cablegate. Y aunque todo el mundo guarda el nombre de Julian Assange en su memoria, apenas nadie se interesa ya por su suerte. Hoy hace diez años, algunos de los periódicos más importantes e influyentes del mundo publicaban al mismo tiempo parte del contenido de aquellos documentos Chelsea Manning había entregado a WikiLeaks, y en adelante seguirían publicando documentos y documentos de esa misma fuente sin sufrir represalias de ningún tipo. Mientras tanto, a Julian Assange se le preparaba una encerrona con el objetivo final de poder extraditarlo a los EE. UU. para ser juzgado por espionaje. Ninguno de estos medios de comunicación dedicó un solo minuto de su tiempo a reconocer el trabajo que había detrás de todas aquellas exclusivas con las que se estaban lucrando, ni volvió la vista atrás para defender a Julian Assange... su fuente. Al contrario: dedicaron lo que en otros tiempos hubiesen sido ríos de tinta a criticar a la persona que hizo posible que esa información se hiciera de dominio público y llegara en exclusiva hasta sus redacciones, y se lavaron las manos. Los nombres de estos medios de comunicación son: The Guardian, El País, Der Spiegel, The New York Times y Le Monde. David Leigh y Luke Harding son los nombres de los periodistas de The Guardian que condenaron a su colega Assange a una vida de aislamiento y persecución haciendo pública la contraseña a todos los documentos (https://wikileaks.org/Guardian-journalist-negligently.html). Nunca debéis olvidar sus nombres. Somos la 9ª de Anonymous, y hoy llegamos hasta la bandeja de entrada de tu correo para denunciar uno de los mayores escándalos de la historia reciente en lo que a libertad de expresión y de prensa se refiere. Este correo no lo has recibido solo tú, este correo lo han recibido cientos de miles de personas que, como tú, seguramente no acaben de entender cómo nos hemos podido colar hasta aquí. ¿Sabes quién dedicó su vida a luchar por la protección de la privacidad de personas como tú? Sí, exacto. Otra vez Julian Assange. Si nosotras nos hemos infiltrado hoy hasta aquí es porque las grandes empresas van ganando la batalla por el derecho sobre tus datos personales en Internet, y lo que pase con ellos, más allá de llenarles los bolsillos, les importa una mierda. Tanto, que como puedes comprobar no están protegidos. Hoy Julian Assange está siendo juzgado sin garantías en el Reino Unido en el que algunos llaman el "juicio del siglo". El juicio del siglo, como no podía ser de otra manera, es un juicio político. Y aunque en un primer momento este juicio iba a ser retransmitido en privado para que varias organizaciones de derechos humanos y observadores internacionales pudieran ser testigos, finalmente no ha sido así. El "juicio del siglo" se está llevando a cabo a puertas cerradas, y podría celebrar su última audiencia en los EE. UU. con una sentencia final de muerte o cadena perpetua bajo la Ley de Espionaje de 1917. A la sala donde se celebra la audiencia sólo pueden acceder como público cinco familiares de Assange. A parte, únicamente hay otros cinco huecos. En estos casos, la estrategia siempre es la misma: grupos de influencia que no están interesados en que se haga público lo que sucede entre esas cuatro paredes ponen a personas afines a hacer cola desde primera hora de la mañana para copar esos pocos espacios. Y así, de paso, dejan al acusado sin el calor del apoyo social. Lo aislan un poco más. Por suerte, esta estrategia es vieja y los observadores internacionales, que tendrían que tener un sitio asegurado, se levantan de madrugada y, tras horas de espera, consiguen hacerse con algún sitio. Demasiado fatigados para seguir con atención el caso, están presentes al fin y al cabo. Julian Assange, encerrado en una jaula de cristal, física, mental y anímicamente agotado, tiene que arrodillarse cada vez que quiere comunicarse con sus abogados. Esta humillación, que llega tras meses de aislamiento e informes médicos que alertan de que su estado de salud es crítico, tiene lugar mientras en las redacciones de The Guardian, El País, Der Spiegel, The New York Times y Le Monde los periodistas siguen sus carreras sin echar la vista atrás. Mercenarios de la información canturrean mientras siguen robando las historias de otros, ajenos a todo el sufrimiento sobre el que se han elevado. Julian Assange no está solo, pero está silenciado. Por eso nos dirijimos a ti. Para que sepas lo que está pasando, para que busques información en línea, para que se hable del llamado "juicio del siglo" en todas las redes sociales. Para que el juicio se desarrolle con garantías, para que dejen de someter a Assange a tratos vejatorios. Para que impidamos la amenaza de su extradición, para que evitamos su condena a muerte o su condena a una vida de absoluto aislamiento en la ADX Florence. Porque en este último caso, tampoco sobreviviría. Para que Julian Assange sea liberado de inmediato. Sé parte de la resistencia. Comparte este mensaje.

Inglorious /b/asterds

Tras tanta demora y vista la expectación, vamos a desvelaros dónde estaba uno de nuestros half-tracks: en AVALMADRID 😉

¿Y qué hacíamos allí tanto tiempo? Pues ver documentos y documentos de préstamos, de embargos… A los periodistas les encataría 😁 El caso es que a nosotras más que encantarnos, nos divierte.

Y es que, por ejemplo, ahora sabemos que Elena González-Moñux Vázquez, ex concejala del Ayuntamiento de Madrid y diputada en la Asamblea de Madrid por el Partido Popular, tenía su sueldo y sus cuentas corrientes bajo amenaza de embargo en 2019. ¿Qué habrá pasado?

Pero no está sola en esto, le acompaña el administrador de Planair SA, Ricardo José Fernández Gil. ¿Y qué demonios es Planair? Una consultoría de gestión empresarial. Nosotras, de ser periodistas, le echaríamos un ojo 🙄

Hemos descubierto grandes empresas que desconocíamos beneficiándose de varios millones de euros con AVALMADRID –entre las que no nos ha sorprendido encontrar empresas de comercio de animales–, otras quizás menos ambiciosas extinguiéndose por deudas de varios cientos de miles de euros. Hemos sufrido con los intereses de demora (7’123 %!), que convierten pequeñas cantidades de dinero en un infierno para cualquier persona que no se dedique a robar. Y también hemos caído en un dato curioso: el año que AVALMADRID se puso las botas avalando fue en 2011, con Esperanza Aguirre al mando de la Comunidad de Madrid (cuya Conserjería de Economía, Empleo y Competitividad es el socio principal de esta empresa semipública que trabaja mano a mano con Bankia).

Por ejemplo, nos ha preocupado un poco que AVALMADRID avalara a Emilio Ruiz Barrachina con 500.000 euros un mes antes que el Instituto de la Cinematografía y de las Artes Audiovisuales (ICAA) le concediera una subvención de otros 576.107 euros por los que la Fiscalía Provincial de Madrid le acabó pidiendo dos años de cárcel por inflar, siempre presuntamente, los datos de taquilla para acceder a la misma. ¡Y es que también el Instituto de Finanzas de Cantabria (IFC) le demandó el pasado año por un presunto desvío de fondos públicos! Fondos que, en todos los casos, obtuvo bajo un gobierno del PP.

Pero vamos a las cosas importantes: el pastizal que AVALMADRID ha concedido al ex vicepresidente de la CEOE Arturo Fernández (imputado) o al ex presidente de la CEOE Gerardo Díaz Ferrán (encarcelado) y que nunca han devuelto ni devolverán, ya que parece que AVALMADRID se encarga de alargar algunos procesos judiciales hasta su vencimiento. O por lo menos, lo intenta. Digámoslo así: AVALMADRID concede créditos millonarios a sus amiguetes, éstos si acaso devuelven algunos míseros miles de euros para demostrar que algo van pagando, y se abren los procesos juidiciales pertinentes. Los abogados de AVALMADRID empiezan a mandar correos a las distintas partes, y aquí nadie embarga nada. Al contrario, pasa el tiempo y AVALMADRID concede nuevos préstamos a los mismos personajes por medio de nuevas empresas 💶

Que por cierto, aquí tenemos algunos documentos relacionados con Trapsa, la última empresa por la que Díaz Ferrán ha vuelto a ocupar titulares por un nuevo caso de corrupción. En este caso, por un (siempre presuntamente) trato de favor recibido para la explotación de amarres en en las Islas Baleares.

Pero vamos, que lo más interesante de AVALMADRID no es toda esta morralla (entre la que se puede bucear por un sinfín de solicitudes monetarias de infinitud de empresas, que se dice pronto), sino la Presidenta de la Comunidad de Madrid. Y es que si llevamos tanto tiempo dentro es porque hay unos documentos que se nos escapan: los relacionados con el padre de Isabel Díaz Ayuso. Como el conejo blanco de Alicia, MC Infortecnica SL ha aparecido y desaparecido delante de nuestras narices. Sólo que, en esta ocasión, no parece habernos conducido al país de las maravillas 🙁

Pero para eso están nuestros half-tracks: para echarnos unas risas aun cuando las condiciones nos sean adversas. Y es que el desarrollo del sitio y la programación realizada por la empresa PXSP, de la que sólo se conserva alguna información en FB del año 2012 y cuya web está fuera de servicio, es muy cuqui para cualquier curiosa: un desarrollo en PHP con Mysql (Maria DB Fork) como base de datos y el dominio alojado en Acens de Telefónica al que le han ido poniendo parches (todos muy desafortunados).

Hay algo medianamente bien hecho, y es el hasheo de las passwords (en una codificación muy original xD). Y decimos medianamente bien hecho porque, a pesar de la insistencia de no dejar en producción el fichero PHP que codificaba y descodificaba las passwords, se les olvidó quitarlo 😂

Nos encantan los malos desarrollos en PHP/Mysql en servers mal configurados. Todas las características que reúne, en este momento, el sitio de avalmadrid.es 😍

Entrar y subir una webshell no es complejo. Llevamos dentro bastante tiempo y hemos dado varias señales que harían sospechar al sysadmin menos avezado. O por casualidad o por mosqueo, alguien borró y modificó uno de los agujeros por los que entró una shell, pero dejó otra backdoor olvidada 🤗

Las password cortas (mirad que nos repetimos) no son aconsejables, pero seguir insistiendo con “123456”, “0000”, “Av1234”, etc., es de canelos, y esos canelos tienen estas contraseñas. Uno de ellos, el entonces flamante Director de Riesgos de Avalmadrid Antonio Chorro que tiene una que podríamos haber puesto nosotras: “Koronita01”, jajajaja.. Pero ¡cuidao!, que el Director Financiero y de Administración, Fernando de la Fuente, gasta un “1973”, y el Director General Pedro Embid disfruta de su “0000” 😂

Y pues eso, que nos colamos en su intranet:

Y en su web como usuario con privilegios:

Y nos paramos largo rato en los directorios que llenan de documentos y mensajes de outlook con los que comparten información los cuatro despachos de abogados con los que trabaja esta “cosa” de la Comunidad de Madrid, Bankia, Santander, CEOE y otros amiguetes, para avalar préstamos a clientes selectos y otros menos a los que embargarán seguro. Estos cuatro despachos a los que dirigirse para pedir información son:

https://www.garciapiabogados.es

https://www.adarve.com

https://oliverabogados.es

http://zaforteza.es

https://www.racmo.com

Y las notarías para dar fe de las cosas del dinero, las de los notables:

Enrique Garcia Romero

Santiago Chafer Rudilla

Los abogados y notarías de estos despachos suben a un FTP cuanta documentación trabajan en torno a los procesos ejecutivos, embargos y querellas, que son muchas. Naturalmente, toda la documentación está repleta de datos personales y capturas de LexNet que deberían tener mayores medidas de seguridad. Pero es lógica la ausencia de medidas: hay que tener en cuenta que en los mejores años de AVALMADRID era Santiago Abascal quien dirigía el chiringuito de la Agencia de Protección de Datos de Madrid. Tenerle en el Congreso es una garantia de que él y su muchachada no harán otra cosa que cagarla (repasad vuestros servidores, entes fascistas 😎).

El caso es que esta vez, sólo os vamos a dejar un mensaje en el index principal porque el uso de mascarillas y geles nos importuna y ya se nos han acabado las Coronas, pero debéis ser conscientes del destrozo que podríamos haberos causado.

La Covid-19 no ha impedido –ERTES de algún despacho de abogados de los mencionados, aparte– que sigáis embargando salarios y viviendas a personas no tan importantes como la familia de Isabel Díaz Ayuso, Díaz Ferrán, Arturo Fernández y otros próceres de la familia derechosa hispana. Naturalmente, hemos hecho acopio de información documental, usuarios, correos, etc., de los que no haremos mayor uso porque es nuestra seña de identidad (influencias Casadianas) 🤣🤣🤣

Por lo demás, nosotras seguimos y seguiremos ahí fuera, buceando entre los favores de quienes se creen impunes. De forma anónima y sin perder detalle. Podríamos habernos cargado la web entera, sed conscientes, ¿pero quién pagaría los platos rotos? No vamos a darle el gusto de cargar sus frustraciones contra sus informáticos mal pagados a nadie.

La seguridad es un unicornio rosa: muy bonito, pero un fraude. Como la partitocracia de este país. Ellos se ríen desde los Parlamentos, nosotras nos reímos desde dentro de sus sistemas.

Inglorious /b/asterds

Hace unas semanas publicábamos un texto en el que presentábamos una acción relativamente modesta, con una importante denuncia.

La selección del objetivo estaba marcada por la necesidad de dar a conocer la ley de excepción digital que ha sido aprobada con nocturnidad y alevosía por el actual Gobierno en funciones, y ratificada en el Parlamento con el apoyo de PP y Ciudadanos, y la abstención de Unidas Podemos. Efectivamente, hablamos del Real Decreto-ley 14/2019, por el que se otorga un poder absoluto al Gobierno en materia de telecomunicaciones. Hasta tal punto, que podría ejercer la gestión directa de las mismas llegando a intervenirlas a demanda.

Sin embargo, sabíamos que sería complicado dar a conocer la acción y, con ello, el mensaje tras la misma. Y es que prácticamente todos los medios de comunicación tienen una cartera virtual para comprar misivas a la Agencia EFE (por medio de un sistema de pago con un protocolo no precisamente sencillo). Es una de las manos que les dan de comer, con lo que son parte de los afectados. Naturalmente, iban a intentar evitar difundir la noticia de que el medio estatal de la SEPI es un coladero 😁

Pero nuestras múltiples motivaciones políticas siempre tienen un mismo trasfondo común: la denuncia de la (in)seguridad en la Red. Especialmente, cuando se trata de grandes instituciones, pues son responsables de miles de datos de terceros. Nuestra elección del objetivo no estuvo nunca, por tanto, limitida a la necesidad de dar a conocer una noticia echando mano de su sistema de edición, la plataforma PMU.

Esa primera acción era mucho más ambiciosa. Y respondía a una apuesta que habíamos hecho entre nosotras: ¿Cuánto tardarían los equipos informáticos en actuar? ¿Serían capaces de ver más allá de la denuncia pública? ¿Entenderían por dónde habíamos entrado, encontrarían el fallo de seguridad? ¿Comprenderían, por tanto, hasta dónde nos habíamos metido? En otras palabras, ¿auditarían los sistemas o se limitarían a cortar el acceso y cambiar las contraseñas de las cuentas que habíamos utilizado para acceder a la PMU? 🙄

Como de costumbre, optaron por la vía fácil, barata y silenciosa. Eligieron poner por encima de todo su imagen y ganancias.

Y, cómo no, la cagaron...

Porque después de meses y una denuncia pública de semanas, seguimos dentro  😅

Sí, queridos. Seguimos dentro a pesar de vuestra paulatina migración a Azure. ¡Vaya! ¿Pensabais que con eso se acabaría el problema? Pues hemos migrado con vosotros a la nueva plataforma ultrasegura de Microsoft 🤭

Y ahora, otra vez: ¿creéis que esto es todo lo que tenemos? 😬

Podríamos haber hecho ingeniería social y conseguir unos pocos usuarios y contraseñas de forma “casual”, sí. Pero solemos ir un poco más allá, no nos ofendáis.Y, de todos modos, sólo con eso ya se pueden adjuntar archivos y subir cualquier guarrada a los servidores, con lo que optar por la vía fácil tampoco es lo más adecuado en esta tesitura. ¿Acaso no se alertó a los ciberseguratas del CCN, Incibe, Cert o CSIRT para que echaran un vistazo? 🙉

Lo cierto es que casi ninguna de nosotras llegó realmente a creer que alguien pudiera pensar algo así, pero aún así decidimos dar tiempo y sembrar la duda de que todo había sido el simple intento fallido de edición de una noticia 😂

Han transcurrido 20 días, y han ganado la apuesta las opciones más arriesgadas: las que iban en la dirección de que no harían nada, limitándose a cambiar las contraseñas. Total, sus clientes se encargarían de no dar trascendencia al intento de deface con el editor, y punto final. Ya sabéis, aquello de lo que no se habla, no existe...

¡MEEEEC! ERROR DEL SISTEMA 🚨

Tenéis una segunda oportunidad 😉

Inglorious /b/asterds