The Onion: aprendiendo sobre hackeos, seguridad e inevitabilidad

TheOnionhackEl pasado 6 de mayo, la cuenta de Twitter de The Onion, conocido medio norteamericano dedicado a la producción de noticias satíricas, comenzó a publicar mensajes extraños, con el mundo árabe como temática común, haciendo referencia a cuestiones como la financiación de la guerrilla antigubernamental siria o el papel jugado en el conflicto por los Estados Unidos, Israel, Qatar, la ONU o Al Qaeda.

Siendo The Onion quien es, las primeras informaciones fueron relativamente prudentes, tratando de no descartar la posibilidad de que fuese una de las habituales bromas o pranks de la publicación al hilo de hackeos recientes como los de Associated Press o CBS. En poco tiempo, sin embargo, se hizo evidente que se trataba de un hackeo por parte de los mismos protagonistas, la Syrian Electronic Army, un grupo  pro-gubernamental que apoya a Bashar al-Assad. Las reacciones posteriores de The Onion manteniendo su tono de humor habitual no dejan de tener su punto.

Las razones para que una organización de este tipo decida hackear una publicación satírica resultan evidentes para cualquiera: sus casi cinco millones de seguidores, y la posibilidad de generar una elevada viralidad mediante el uso del humor, uno de los elementos más eficientes en este sentido.

Pero lo llamativo del hackeo de la Syrian Electronic Army a The Onion no termina con el mismo: la publicación ha decidido hacer públicos todos los detalles referentes al mismo (puedes ver la noticia en sitios como Boing Boing, AllThingsD, The Register o ArsTechnica). Algo que podemos ver en muy raras ocasiones: lo habitual en estos casos suele ser la discreción, la reserva en los detalles, por miedo al descrédito o a la revelación de procedimientos internos. En este caso, The Onion ha decidido que lo mejor era dar todos los detalles, incluidos correos electrónicos, URLs y consejos, con el fin de ayudar a otros que pudiesen ser víctimas de ataques similares. La lectura de la entrada es muy recomendable para cualquiera que pueda, en un momento dado, ser víctima de un ataque de este tipo.

Los detalles revelan, a mi entender, algo muy claro: prácticamente nadie está a salvo de un ataque de este tipo. Cuando una organización se decide a atacar un objetivo concreto, las posibilidades de evitarlo son muy escasas, incluso cuando los métodos empleados no son especialmente sofisticados. Hablamos de un ataque de phishing desarrollado en varias capas, con direcciones externas, dirigidos a varias personas de la organización, que terminaban en una pantalla en la que había que introducir el usuario y la contraseña de acceso a una cuenta de correo. Capturadas las credenciales de acceso de una cuenta de correo electrónico, ésta fue utilizada para enviar otros correos a otras personas de la organización, correos que obtuvieron un clickthrough muy superior por provenir de una dirección conocida. Aunque varias personas de los que recibieron ese correo se detuvieron en la pantalla que solicitaba la introducción de usuario y contraseña, algunos no lo hicieron, y alguno de ellos tenía en su correo información de acceso a la cuenta de Twitter.

Un ataque de este tipo resulta muy difícil de evitar. Los consejos que proporciona la propia The Onion pueden ayudar a ello: educar a todos los usuarios en seguridad, para que sospechen de todos aquellos enlaces que les soliciten un login, provengan de quien provengan es algo muy recomendable, pero siempre puedes encontrar a alguien que tiene un momento de descuido. En cualquier caso, me parece el consejo más claro y evidente que podemos derivar de todo este tema.

Además, que las direcciones de correo para acceder a la cuenta de Twitter estén en un sistema aparte aislado del correo organizacional, o que toda la actividad y el acceso se lleven a cabo a través de una aplicación como Hootsuite o similares parecen buenas recomendaciones, como lo es por supuesto el ser especialmente cuidadoso en la elección de contraseñas o la utilización de un gestor especializado para las mismas. Tener métodos alternativos y ágiles para contactar con todas las personas de tu organización aparte del correo corporativo es una buena idea en momentos de crisis en los que puede resultar difícil averiguar si la seguridad de alguno de los elementos del sistema ha sido vulnerada. Toda educación en seguridad es bienvenida, toda precaución es poca a la hora de que una contraseña no sea obvia, no aparezca en un diccionario o no se utilice la misma en todas partes.

Pero llevado al extremo, podemos terminar en la paranoia más absoluta, y olvidaríamos lo fundamental: que si de verdad te has convertido en un objetivo de suficiente interés para alguien, lo normal será que en algún momento consiga su objetivo. Y en estos casos, lo mejor es recurrir a comparaciones de fuera de la red: si alguien se empeña en robar específicamente tu casa y se prepara especialmente para ello, posiblemente lo consiga, pero eso no debe hacer que descuides la seguridad. No debe llevar a que abandones el cuidado, a que olvides tus llaves al alcance de cualquiera, o a que dejes la puerta sin cerrar. En el fondo, puro sentido común. Pero recrear ese sentido común, procedente de muchos años de experiencia, en un entorno de uso mucho más reciente no parece tan sencillo.

6 comentarios

  • #001
    evoratec - 11 mayo 2013 - 15:51

    Siempre he dicho que el mejor hacker es la señora de la limpieza. Muchas veces parece ( bueno, muchos lo son) que los ataques son realizados mediante técnicas supermegasofisticadas, pero la realidad es que muchos usuarios se dejan las contraseñas pegadas en postit. Eso lo he visto en organismos oficiales, por ejemplo.

    Pero vamos, no tienes nada más que ver lo que es Zeus ( http://en.wikipedia.org/wiki/Zeus_(Trojan_horse) ) y sus secuelas, las cuales se venden en el inframercado :) para que se te pongan los pelos como escarpias y ver lo inseguros que estamos.

    Una página web muy buena sobre seguridad es http://blog.s21sec.com/

    Saludos.

  • #002
    Gorki - 11 mayo 2013 - 21:06

    Inevitablemente las medidas de seguridad se implementan el día después de ser objeto de un ataque, si pasas a ser el foco de alguien dispuesto a burlar tus medidas de seguridad actuales y está medianamente preparado, date por perdido.

    ¿Quiere ello decir que no debas tomar medidas de seguridad? – De ninguna forma. las medidas de seguridad tiene dos funciones:

    a) Disuasoria, para quien sin tener un plan de ataque, pudiera sentir el surjirle el deseo de no encontrara freno suficiente. Es poco probable que intenten entrar en tu cocha, pero si te alejas dejando abierta la puerta, las probabilidades aumentan exponencialmente.

    b) Estadística, si tienes medidas de seguridad similares a quienes tienen similar riego que tú de ser objeto potencial de un ataque, tienes bahjas probabilidades de sufrir un ataquen, Si tienes medidas de seguridad mucho más bajas, pasas aumenta el riesgo de ser un posible objetivo de los atacantes.

    Para proteger tu casa es conveniente poner una puerta blindada, que te equipare con las medidas de seguridad de tus vecinos, pero si alguien se pone como objetivo penetrar en tu casa, lo hará, bien haciendo un boquete en la pared, o descolgándose por la fachada y dificilmente podrás poner normas de seguridad en todas las partes de tu casa.

    Igual pasa en Internet, si eres una persona normal las medidas de seguridad estandar son suficientes para que no intenten suplantarte en Twitter. Por supuesto, si no eres del montón y por ejemplo te llamas «elcorteingles», las probabilidades que hay quien lo intente aumentan y tendrás que implementar mejores medidas de seguridad que las del vulgo, Pero si alguien se lo proponen date por perdido, (hace un par de días alguien entro con el nike «eIcorteingles» sustituyendo la «l» por la «I» mayúscula y comenzo a lanzar Twitter poco favorables al gran almacén).

    Supongo que ya en este momento El Corte Ingles ha registrado como propias todas las palabras do la marca, donde se pueda sustituir la «l » por la «I», pero como siempre, la medida se toma a toro pasado.

  • #003
    Antonio Castro - 12 mayo 2013 - 08:03

    Dudo que la mayoría de la gente sea suficientemente prudente (es decir, suficientemente paranoica) en temas de seguridad.

    ¿En cuantos sitios necesitamos hacer login?
    ¿Cuantas contraseñas diferentes manejas?
    ¿Usas contraseñas que puedan ser reventadas con ayuda de diccionario?
    ¿Compartes el uso de contraseñas con otras personas?
    ¿Usas combinaciones aleatorias de caracteres?
    ¿Usas claves nemotécnicas?
    ¿Usas palabras pronunciables?
    ¿Guardas tus contraseñas escritas en algún papel?
    ¿Las guardas en tu ordenador encriptadas con una clave?

    La comodidad y la seguridad son factores antagónicos, pero un nivel razonable de seguridad no tendría por qué implicar una gran incomodidad. Supongo que es más bien un tema de voluntad para no ofrecer demasiadas facilidades a los hackers y de organizarse. Por ejemplo podemos usar alguna herramienta que nos ayude.

    En linux hay programas que nos permiten organizar un contenedor encriptado con una clave donde pondremos guardar un montón de ellas de forma razonablemente segura.

    Por ejemplo:

    INSTALAR secure-delete y openssl:
    sudo apt-get install secure-delete
    sudo apt-get install openssl

    ENCRIPTAR CON OPENSSL:
    openssl des3 -salt -in archivo_secreto_texto_plano -out archivo_encriptado

    BORRAR TODO RASTRO DEL FICHERO ORIGINAL:
    srm archivo_secreto_texto_plano

    DESENCRIPTAR CON OPENSSL:
    openssl des3 -d -salt -in archivo_encriptado -out archivo_secreto_texto_plano

    Seguro que hay montones de alternativas a estos programitas, incluso algo especialmente diseñado para este propósito, cosa que yo no usaría jamás sin estar totalmente seguro de lo que hace, como lo hace y que se puede confiar en ella.

  • #004
    Gorki - 12 mayo 2013 - 11:37

    #003 Antonio Castro
    Coincido, estoy convencido que la mayoría de la gente es poco prudente, pues como bien dices no son paranoicos de la seguridad

    También como bien dices, comodidad y seguridad son factores antagónicos y el común de la gente opta por la comodidad. Por otra parte, los que deberiamos permanecer vigilantes inevitablemente nos relajamos la seguridad ante el hecho de que «nunca pasa nada», esto es así hasta en los lugares más proclives a ser atacados. La confianza relaja las normas y como bien dice #1, el riesgo está en quien mas iniofensivo parece, de la mujer de la limpieza, al «compañero» de trabajo, pasando por el chico que trae las pizzas.

    Solemos pensar en complejos sistemas de ataque y creamos complicados sistemas de defensa, pero los sistemas efectivos de ataque suelen ser muy sencillos, Bin Laden se comunicaba con sus secuaces en todo el mundo por el procedimiento de tener una cuenta conocido por ellos, escribía un email y lo guardaba como borrador, desde otra parte del mundo alguien entraba en el buzón leía el borrador, escribía la respuesta y volvía a guardar el borrador. El gigantesco sistema Echelon de vigilancia de las comunicaciones de la CIA, controlaba todos los mails y comunicaciones telefónicas que se mandaban, pero no los que no se mandaban y estaban en estado de «borrador».

    Hay programas que graban las pulsaciones que escribes en el teclado, son terriblemente sencillos y todos las podemos construir, están perfecttamente documentados en Internet. Ya puedes ser prudente y tener una clave «indescifrable» que como la escribas una vez, es como si la tuvieras en un Posit en la pantalla, ademas pueden reconstruir todo lo que hiciste. Es el sistema habitual utilizado por muchos celosos para controlar los ordenadores de la pareja.

  • #005
    Cristina - 12 mayo 2013 - 17:54

    No parece sencillo porque no se visualiza el hecho de que alguien acceda, mire tu informacion y datos y se vaya, sin que te hayas dado cuenta.
    No se asocia la contraseña con las llaves de casa.
    Porque el ordenador, con fotos, no es tu casa.
    De hecho, que alguien entre y mire tus fotos, pensamientos, tesis, noticias guardadas, juegos etc… No es una parte importante de tu privacidad, parece ser.
    Un documento escaneado con datos bancarios, ya debería ser tu casa, verdad?
    Una vez sentí como a un buen amigo( aunque cueste creerlo)’se le escapo comentarme algunos escritos que yo tenía en mi ordenador. Mi amigo, de profesional hacker. En ese instante, lo supe….resulto muy extraña la sensación pero, de no haberlo el, mencionado, yo jamás lo habría sabido con certeza.

  • #006
    Esteban - 15 mayo 2013 - 18:00

    En relación a esto, leí que el navegador Explorer 10 es ha mejorado mucho en varios aspectos importantes, entre ellos justamente este tema de la seguridad (cuenta con novedades como el “Enhanced Protected Mode”, entre otras funciones). Esto me parece bueno y lo curioso es la estrategia que adoptó Microsoft para promocionar esta versión: dicen haber roto su tradición de ser «el navegador más odiado» y hasta hicieron este sitio: http://bit.ly/17uhHgy , donde te cuentan las mejoras y se ríen de si mismo, de su mala fama y de la comunidad «odiadora del Explorer». En fin, por mi parte me interesa mucho lo relativo a la seguridad así que gracias por el artículo!

Dejar un Comentario

Los comentarios están cerrados