La historia de Kevin Mitnick

Mitnick_Color2

Este Cazafantasmas tuvo la oportunidad de conocer al famoso Kevin Mitnick durante su visita a Colombia en el marco del Campus Party edición 2009. En se entonces, Mitnick impartió una conferencia acerca de seguridad informática, enfocándose particularmente en los novedosos (por ese entonces)  Smart Phones y cómo estos se convertirían en uno de los principales blancos de los piratas informáticos del futuro. Para demostrarlo, hackeó “en vivo” un teléfono motorola perteneciente a un asistente del evento a través del enlace Bluetooth abierto que el usuario había dejado abierto por error, revelando así sus archivos personales. Realmente inspirador, desde un punto de vista tecnológico.

¿Quién es Mitnick? Kevin David Mitnick es el padre de todos los hackers, o eso parece de acuerdo a la cultura popular. El “pirata informático más famoso del mundo”, según el Libro Guinness de los Records. También es el hacker más escurridizo, ya que ha estado huyendo, en prisión o en tratamiento por “adicción al ordenador” desde que tenía 17 años. Y, según el FBI, es el más peligroso. Mitnick ha sido el único criminal informático que ha figurado en un cartel de “Se busca” de los 10 hombres más peligrosos según el FBI , y pasó ocho meses en una celda de aislamiento porque las autoridades creían que podía arruinar electrónicamente la vida de cualquier persona con la que hablara con sólo conocer un par de datos sobre ella.

Más que un hacker, Mitnick es un ingeniero social: conoce las debilidades inherentes del ser humano y las usa a su favor. Se basta en los siguientes principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Con estos simples principios, Mitnick relató en el 2009 en Bogotá,  el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas y en unos escasos minutos.

La carrera de Kevin Mitnick comenzó a los 16 años, cuando obsesionado por las redes de ordenadores rompió la seguridad del sistema administrativo de su colegio, pero no para alterar sus notas; lo hizo “solo para mirar”. Su bautismo como infractor de la ley fue en 1981. Junto a dos amigos, entró físicamente a las oficinas de COSMOS, de Pacific Bell. COSMOS (Computer System for Mainframe Operations) era una base de datos utilizada por la mayor parte de las compañías telefónicas norteamericanas para controlar el registro de llamadas. Una vez dentro de las oficinas obtuvieron la lista de claves de seguridad, la combinación de las puertas de acceso de varias sucursales y manuales del sistema COSMOS. La información robada tenía un valor equivalente a los 200.000 dólares. En 1987, luego de tratar de poner su vida en orden, cayó ante la tentación y fue acusado, en Santa Cruz California, de invadir el sistema de la compañía Microcorp Systems. Lo sentenciaron a tres años de libertad condicional y tras la sentencia su expediente desapareció de la computadora de la policía local.

Posteriormente buscó trabajo en lo que mejor sabía hacer y solicitó empleo en el Security Pacific Bank como encargado de la seguridad de la red del banco. El banco lo rechazó por sus antecedentes penales y Mitnick falsificó un balance general del banco donde se mostraban pérdidas por 400 millones de dólares y trató de enviarlo por la red (like a boss). Ese mismo año inició el escándalo que lo lanzó a la fama. Durante meses observó secretamente el correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation para conocer cómo estaban protegidas las computadoras y el sistema telefónico de ambas compañías; luego de recoger suficiente información se apoderó de 16 códigos de seguridad de MCI y, junto a un amigo, Lenny DiCicco, entraron a la red del laboratorio de investigaciones de Digital Corporation, conocida como Easynet. Ambos crackers querían obtener una copia del prototipo del nuevo sistema operativo de seguridad de Digital, llamado VMS. El personal de seguridad de Digital se dio cuenta inmediatamente del ataque y dieron aviso al FBI, y comenzaron a rastrear a los crackers. Mitnick fue arrestado en 1988 por invadir el sistema de Digital Equipment. La empresa acusó a Mitnick y a DiCicco ante un juez federal de causarles daños por 4 millones de dólares en el robo de su sistema operativo. Fue declarado culpable de un cargo de fraude en computadoras y de uno por posesión ilegal de códigos de acceso de larga distancia.

Adicional a la sentencia, el fiscal obtuvo una orden de la Corte que prohibía a Mitnick el uso del teléfono en la prisión alegando que el prisionero podría obtener acceso a las computadoras a través de cualquier teléfono. A petición de Mitnick, el juez lo autorizó a llamar únicamente a su abogado, a su esposa, a su madre y a su abuela, y solo bajo supervisión de un oficial de la prisión.

Hoy en día, todo esto forma parte de su pasado, ya que se dedica a ser consultor de seguridad, con muy buenos resultados. Es la clásica historia del hacker reformado, quien utiliza sus conocimiento para hacer el bien, y sacar unos cuantos miles de dólares en el proceso.

5678862485_b7f8101677_o

Anuncios

¿Son las webcams realmente seguras?

webcam

La respuesta corta: no realmente.

La respuesta larga: Toda pieza de software o hardware es susceptible a ser hackeada, esta regla no tiene excepción alguna. Existen aplicativos (que no enlazaré aquí por obvias razones) especializados en activar webcams de forma remota, de este modo la persona al otro lado de la aplicación puede espiar y hasta grabar todo lo que la webcam puede ver. Pretty scary, huh?.

Afortunadamente, existen medidas preventivas y de contención en estos casos:

  1. Desconectar la webcam cuando no la estés usando.
  2. Activar y tener actualizado nuestro firewall y antivirus.
  3. Habilitar el WEP, WPA o la clave de seguridad. Si estás usando un router inalámbrico o una webcam inalámbrica instala tu clave de seguridad.
  4. Utilizar un programa de bloqueo para webcams (camblocker).
  5. Utilizar cámaras con luz piloto incorporada que nos indique si está grabando o no.
  6. Configurar adecuadamente el software de la cámara, con restricciones de quién puede ver las imágenes emitidas.
  7. Procurar no chatear con webcam con personas que no conozcamos fuera de Internet ni usar servicios de videochat aleatorio.
  8. No trasmitir imágenes que puedan ser utilizadas para chantajearnos o hacernos daño de cualquier otra forma. NO TE DESNUDES.

Son consejos muy básicos, si los sigues al pie de la letra te evitarás dolores de cabeza a futuro.

El troyano que está arrasando con Facebook

Trojan-Virus

El Microsoft Malware Protection Center ha lanzado una alerta concerniente a la seguridad de Facebook y los navegadores de Internet. Al parecer, un troyano se está apoderando de cuentas de Facebook a través de una extensión para Google Chrome y Mozilla Firefox que se puede actualizar a sí misma. El troyano fue catalogado como JS/Febipos.A  y al ser instalado como extensión intenta actualizarse mediante los siguientes URLs:

Chrome:

du-pont.info/updates/<removido>/BL-chromebrasil.crx

Mozilla Firefox:

du-pont.info/updates/<removido>/BL-mozillabrasil.xpi

Una vez instalado, monitorea las cuentas de Facebook activas y ejecuta una serie de comandos que le otorgan privilegios para realizar las siguientes acciones:

  • Darle like a una página
  • Share
  • Postear
  • Unirse a un grupo.
  • Invitar amigos a un grupo.
  • Chatear
  • Comentar.

A través de estas acciones se propaga aún más, con actualizaciones e interacciones como las siguientes:

  • GAROTA DE 15 ANOS VÍTIMA DE BULLYING COMETE SUICÍDIO APÓS MOSTRAR OS SEIOS NO FACEBOOK

Vìdeo no link abaixo:<Currently unavailable link>

El origen del ataque es Brasil y por ello está escrito en Portugués. La traducción es:

  • CHICA DE 15 AÑOS VÍCTIMA DE BULLYING COMETE SUICIDIO DESPUÉS DE MOSTRAR SUS SENOS EN FACEBOOK.

Video EN ESTE LINK : <Currently unavailable link>

Por ahora, la recomendación es no descargar aplicaciones o extensiones de dudosa procedencia, y en caso de sospecha eliminar las extensiones “raras” de nuestros navegadores.

Glosario: El l33t speak

Hollywood, en medio de su infinita capacidad de arruinar todo, nunca ha logrado crear una visión medianamente realista en lo que concierne a la representación de la cultura hacker, entre muchas otras. Teclados a 4 manos, GUIs que parecen diseñadas como videojuegos para acceder a bases de datos, hackear al FBI en 15 segundos,  detener un ataque de hackers apagando un monitor, los ejemplos se cuentan por docenas y cada uno es más patético que el anterior:

Teclado doble lol

“¿CÓMO NOS HACKEÓ? ;_;” uhhh conectar directamente el laptop del terrorista internacional a la red del MI6 puede estar relacionado.

Esto es ciencia.

Lo único que las películas de hackers han entendido bien: el l33t speak.

Leet speak , leet, 1337 5p34k, 1337 :es un tipo de escritura compuesta de caracteres alfanuméricos usada por la comunidad hacker. Esta escritura es caracterizada por escribir caracteres alfanuméricos de una forma incomprensible para otros usuarios ajenos, inexpertos o neófitos al mundillo hacker, componiendo así una suerte de “código” secreto para proteger las comunicaciones de ojos no deseados. El término “leet”, pronunciado lit, proviene de la palabra Elite.

Un ejemplo con uno de nuestros posts:

Hace poco les contábamos acerca del hack que sufrió la cuenta oficial de la AP. Más allá de sus efectos y connotaciones sociales y políticas, quedamos pendientes en explicar cómo fue la hackeada en sí.

En L33t:

H4C3 P0c0 l32 k0N7Á84m02 4C3RC4 d3L h4x0r KW3 5ufR1Ó L4 ku3n74 0F1C14L d3 l4 4P. má2 4lLá D3 5u2 3f3c702 Y K0nn074C10n32 50c14l32 Y p0lí71c42, Kw3d4M02 P3ND13n732 3n 3XPL1c4R Cóm0 FU3 L4 H4X0r34D4 3n 5í.

Evidentemente, esta clase de escritura dificulta la lectura y una persona puede fácilmente omitir la lectura al descartar el texto como caracteres aleatorios sin sentido. La de arriba es la variación de leet simple, sin embargo existe una mucho más compleja llamada l33t compuesto: P|_|3|)35 U54|2 4L6|_|N45 |_37|245 5! 73 |235UL74 |)3M45!4D0 |)!F!<!|_ (Puedes usar algunas letras si te resulta demasiado dificil).

El l33t tiene varias aplicaciones adicionales, como evitar la censura en algunos sitios de Internet, alternativa a un handle ya ocupado, se sustituye alguna letra por algún conjunto de signos que la formen, para “adornar” un texto, para evitar el borrado de archivos que contienen material ilegal subidos a servidores, como películas, música, juegos, etc.

En el conocimiento está el poder. Pero si te da mucha pereza, la próxima vez que el nerd de tu Sysadmin lo utilice, puedes usar un traductor automático.

¿Qué acciones debo tomar si hackean mi Twitter?.

20130221-TWITTER-HACK-063edit

Con métodos de ataque cada día más efectivos a cuentas de Twitter de toda clase, es importante tener una ruta de acción en caso de que tu cuenta de Twitter sea vea comprometida, más o menos como un plan de evacuación y control de daños en caso de desastres naturales pero aplicado a tus redes sociales. Sigue estos pasos cuando sospeches o confirmes que la seguridad de tus cuentas se ha visto vulnerada:

  1. Don’t panic. Esto es importante, te evitará dolores de cabeza por culpa de decisiones apresuradas.
  2. Cambia tu password: parece obvio pero muchas personas sencillamente dan por perdida su cuenta cuando llegan a este punto. Este nuevo password debe ser fuerte y no puede estar relacionado de ningún modo con tu password anterior. Si compartes este password con otras cuentas (Gmail, Facebook, Tumblr, Last.fm, etc) cambia inmediatamente el password de estas otras cuentas también, y recuerda no compartir password entre cuentas en el futuro para evitar estos incidentes.
  3. Revoca el acceso a TODAS las aplicaciones:  todas las aplicaciones deben irse en este paso, por seguridad y para estar 100% convencidos de que la amenaza desaparezca. No importa si es una aplicación diseñada por la misma gente de Twitter. Esto lo puedes hacer aquí.
  4. Actualiza tu password en las aplicaciones de terceros: si por ejemplo utilizas Tweetdeck, debes renovar tus permisos y password en esta aplicación externa para evitar un bloqueo a tu cuenta por parte de Twitter por exceso de intentos de log in fallidos.
  5. Borra todos los Tweets que se hicieron durante la hackeada, esto incluye los mensajes directos.
  6. Scannea tu computadora con un antivirus actualizado en busca de malware y spyware.
  7. Actualiza la versión de software todos tus dispositivos, incluyendo parches de seguridad (iPad, iMac, iPhone, iPod, debes actualizarlos todos).
  8. Si te han hackeado, tu password debe ser como tu cepillo de dientes: cámbialo cada 3 meses.
  9. Si todo lo anterior falla, contacta a Twitter inmediatamente.

Nueve sencillos pasos para controlar los daños de un hackeo en Twitter. Más fácil imposible.

 

El hackeo a la AP: pishing y malas prácticas

Hace poco les contábamos acerca del hack que sufrió la cuenta oficial de la AP. Más allá de sus efectos y connotaciones sociales y políticas, quedamos pendientes en explicar cómo fue la hackeada en sí.

Este ataque puso en entredicho una vez más la ya dudosa reputación de Twitter en materia de seguridad. Los constantes ataques exitosos a cuentas de alto perfil no se detienen, y de hecho parecen más frecuentes últimamente, sin que Twitter haga algo al respecto, o eso parece. Sin embargo, en este caso en específico, puede que la culpa recaiga sobre un empleado de la AP, ya que el ataque se hizo a través de la modalidad de pishing.

El Phishing es un delito que se comete mediante el uso de ingeniería social. El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. De este modo genera confianza en la víctima y facilita el acceso a su cuenta, en este caso la de Twitter:

TwitterPhishing21

Ejemplo clásico de pishing. Especial atención al URL fraudulento.

A partir de este punto, la víctima ingresa sus credenciales, las cuales son recibidas por el pisher. Para una compañía de la magnitud de Twitter, controlar esta clase de situaciones está más allá de su alcance, y en un mundo ideal en lugar de culpar a Twitter se culparía la *cof cof* ineptitud *cof cof* del personaje que hizo click en el enlace y además se loggeó en esta página falsa, y también a la organización que proclamó la autoría de este crimen, el SEA (siglas del Syrian Electronic Army) quienes se encuentran detrás de  otras falsas noticias como la dudosa sexualidad de la sensación pop del momento.

¿Qué puede hacer Twitter entonces? actualmente basan su verificación de cuentas en el protocolo OAuth para móviles y web, además de un cifrado SSL standard, protocolos perfectamente funcionales y seguros siempre y cuando tus usuarios no sean completamente incompetentes. La idea es implementar un sistema de confirmación de 2 pasos.

Google y Microsoft ya han implementado este sistema, que envía un mensaje de texto al teléfono móvil de los usuarios con una clave que permite confirmar su conexión en caso de que accedan a sus cuentas desde equipos o direcciones IP desconocidas. Facebook también cuenta con un servicio similar, pero que funciona solamente por medio de un mail que es enviado a los usuarios.

Sin embargo, todo esto seguirá siendo inútil si los usuarios no se educan en buenas prácticas de seguridad. Usar el sentido común (tristemente escaso) es el primer y mejor protocolo de seguridad.

Así fue la hackeada a la AP

ap-hack

Han habido dos explosiones en la Casa Blanca y el Presidente Barack Obama está herido“.

Este fue el mensaje enviado desde la cuenta de la AP  a mediados de esta semana, en uno de los casos de hacking de cuentas de Twitter de más alto perfil que se haya visto. La cuenta fue suspendida de inmediato, para evitar que el Tweet se propagara a través de retweets:

El pánico que generó este Tweet llego a afectar al índice Dow Jones, el cual llegó a caer 130 puntos durante los fatídicos minutos durante los cuales este tweet no fue desmentido:

Dow-Jones-AP-hacked

Kaitlyn Kiernan vocera de Dow Jones Indexes comentó:

Los servidores de AP fueron hackeados. Afortunadamente, nos enteramos de esto de forma casi instantánea y pudimos actuar ante la caída del índice. ¿Pueden ver lo temperamental que es el mercado bursátil? En esta era de las redes sociales, se debe estar muy atento a las fuentes de información, incluyendo Twitter, y gracias a ello pudimos comprobar que todo estaba bien.

¿Qué significa esto? pues que estamos en la era de la información, y la que proviene de fuentes reconocidas y oficiales tiene un impacto muy profundo en nuestro entorno, por lo tanto se necesitan medidas más fuertes para proteger estos canales de información.

Claramente Twitter no es un sitio seguro, sin embargo ya están implementando una blindada general  su seguridad, la cual estará lista en breve.