Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

19 febrero 2014

Penny, no toques




Decía en mi post anterior que os contaría qué me pasó un día en que me sentí como si fuera Catwoman pillada infraganti intentando hackear la Casa Blanca.

Entré en una tienda a mirar. Pero resulta que también se podía tocar. Bueno, eso pensé yo. Pero la verdad es que la situación se prestaba a confusión. Nada más entrar, había, en un rincón un ordenador con una "i" (de "información") arriba. Estaba claro que era un puesto de consulta. O no tan claro.
Porque, cuando me acerqué, pude comprobar que, además del explorador, invitando a consultar la versión online de la tienda, aparecía minimizada la bandeja de correos. Hice click y ahí estaban: los correos de todo el mundo :-o Es que no quise ni seguir mirando, porque ya me entraron dudas: ¿era un puesto de consulta pública en el que se habían dejado sin querer abierto el correo corporativo? ¿o era un puesto privado que había sido dejado momentaneamente desatendido? En cualquier caso, sería un puesto que permitía a cualquiera un acceso a parte de la red interna. 

Más adelante había una pantalla de esas enormes, táctiles, que muestran un video de propaganda que el usuario puede manejar a su antojo. O no.

Porque yo recordaba que el día anterior había puesto un video. Y quería verlo. Y en el programa que tenían puesto en ese momento había un cartel que decía "cerrar programa" (porque todo el mundo sabe que el aspa roja que aparece en la esquina superior derecha sirve para eso). Así es que voy y le doy. (¿No estaba la pantalla ahí para que la usáramos?). Y el programa se cierra. Y me aparece el escritorio de Windows con todas sus cosas. Qué monas. "Mira que si tienen todavía el XP", pensé yo, "sería gracioso". "Pues vamos a ver la información del sistema" (sin romper nada, solo mirar).

No puedo deciros si era XP o no porque en seguida oí una voz a mis espaldas: "se puede saber qué está usted haciendo".
- Ver el vídeo.
- Pero ¿qué vídeo?
- Pues el que había antes.
- Eso no está ahí para que usted lo toque. Eso es para uso nuestro.
(¿Una pantalla táctil, enorme, en todo el medio de la tienda? Y ¿dónde no ponía "no tocar"?)
Ahí sí que reaccioné con instinto felino y puse mi mejor cara de minino inocente, como la del Gato con Botas en Shrek:
 


"¿Acaso tengo yo cara de hacker peligroso?", le dije con la mirada.
La señorita me miraba confusa y luego miraba el escritorio de Windows como si fuera la primera vez que lo veía y con cara de no saber qué hacía eso ahí.

- Es ese el programa que había - le dije señalando con el dedo, sin atreverme a tocar. 

Ella tampoco se atrevía a tocar. Ahora me miraba cómo entre pidiéndome consejo sobre qué hacer y dudando que no fuera a pasar algo malo por tocar ahí. "¿Y si es un virus?", parecía decir. Sí, un virus que llevaba yo puesto en el dedo y que he pasado a la pantalla. 

- Que sí, que sí. - tuve que insistirle, para que venciera su miedo.

Al fin hizo acopio de valor y puso en marcha el video.

- Bueno, pero aquí no se toca ¿eh? Porque esto es para nosotros.

Le iba a haber preguntado por el ordenador de la entrada. El que tenía un cartel de "información", la tienda online y los correos de todos.

Por un momento me sentí como si fuera un black hat peligrosísimo, al que hubieran pescado intentando entrar en la Casa Blanca. Yo, que nunca hago nada ilegal porque no me parece bien y, para empezar, porque no sé hacerlo.

Reflexionando sobre la anécdota, extraigo algunas lecciones:

- No se toca nada (aunque parezca estar puesto ahí para eso) si no se está seguro de que se puede. O sea: que haya un cartel que diga "sírvase usted mismo". Y, en caso de duda, se pregunta.

- La seguridad, en sitios públicos y accesibles, no debe basarse únicamente en la vigilancia. Me imagino que si hubiera entrado alguien con peores intenciones que las mías, pudiera haber recurrido a alguna maniobra de distracción para acceder a los equipos. Alguien puede preguntar algo, desmayarse, vestirse de Spiderman, etc. para distraer al personal, mientras otro accede a los puestos. En el caso del ordenador de la entrada, ni siquiera hubiera sido necesario, ya que estaba en un rincón bastante aislado.

- Las pantallas táctiles, kioscos de información y puestos semejantes, deben estar correctamente configurados para no convertirse en un punto de entrada no deseado al resto del sistema. Lo mínimo es ponerlos en modo "pantalla completa". Pero han de asegurarse también de que no se pueda escapar mediante alguna combinación de teclas o por algún otro medio.

Me da que esto de los puntos de información táctiles está aún muy verde. A ver si en la Rooted Con nos cuentan algo...


17 febrero 2014

Cuando Penny es Catwoman



(Versión un poco novelada, pero basada totalmente en hechos reales).

Como todos los superhéroes yo también tengo una máscara. Y en ocasiones me enfundo mi traje de Catwoman (por el cual recibí un premio en un crucero) y me voy a vivir aventuras. Son aventuras que a los que ya tengan fondo en Hackylandia, les arrancarán seguramente una sonrisa condescendiente. Pero que mis compis de oficina y yo vivimos peligrosamente.

Aventuras como cuando, en una mañana de frío invierno, estuve, tacones sobre la nieve, esperando bajo los copos a ser recibida por los agentes de inteligencia, mientras el vapor se escapaba de mi boca como el humo de un cigarrillo. Sin duda aquello formaba parte del programa de entrenamiento: si resistías aquello, ya podías ser enviada como agente secreto a Rusia. Al menos eso creía yo. Pero resultó ser un puro trámite mientras comprobaban las identidades de todos los asistentes. Una vez dentro del recinto, un reconfortante café y unos deliciosos bollitos nos dieron la bienvenida. Y de lo que ocurrió después no puedo hablaros porque si no, tendría que mataros ;)

Otra aventura fue cuando mis compañeros me mandaron en misión especial a Informática64 (ahora 0xWord). Lo habíamos estado planeando estratégicamente: cogería el tren de las 15:05 hacia Móstoles. Y, una vez allí, seguiría las indicaciones del plano que habíamos estado estudiando en la oficina:

- Es ahí.
- Ahí no es.
- Pues es lo que dice el Google Maps.
- Cómo va a ser eso. Si eso parece un zulo.
- Pues será ahí donde está la tienda, en un zulo.
(risas)
- ¡A eso os dedicáis en horas de oficina: a buscar zulos! (jefe).

Al final no era un zulo, sino una tienda normal donde me recibió una señorita muy amable que creyó que yo era "de la Revista SIC" (sic) y donde pude comprar un libro fantástico. Pero eso no lo apuntéis en el cuaderno de Marvel porque de la otra manera es más emocionante.

Pero cuando Catwoman vive sus mayores aventuras es al caer la noche (por algo es una gata); como en aquella ocasión en la que conseguí infiltrarme en una reunión de hackers que tuvo lugar en el bar de la madre de Howard. Mis compañeros, que jamás habían oído hablar de tal cosa, andaban muy preocupados por si me asesinaban con un proyector y a la mañana siguiente aparecía mi cadáver flotando en las aguas del Manzanares.

- Tú de ahí no sales viva. Y a ver luego quién nos hace el trabajo.

Desoyendo sus advertencias y lamentaciones, me dirigí hacia el lugar de encuentro. 

Aquella noche andaba muy liada, de manera que ni siquiera tuve tiempo de enfundarme el traje de Catwoman y me puse el primer mantel que encontré para la ocasión. Cuando llegué, estaba ya empezado y encima me caía de sueño. Suerte que la mamá de Howard me despertaba a cada rato con las instrucciones en clave que transmitía a los integrantes de aquella reunión secreta: "¡Que quién ha pedido un mixto con huevo!" (la madre de Howard es como Charly, el de "Los ángeles": transmite sus instrucciones, pero nunca se le ve la cara).

En tales condiciones, mentiría si dijera que me enteré de mucho. Pero mereció la pena porque fue una experiencia nueva para mí y conocí a gente interesante de la que luego seguiría oyendo hablar, dando ponencias entre cañas, y a la organizadora de todo (sí, aquí también hay chicas): .

La reunión quedó clausurada a la orden de la madre de Howard ("¡Que os vayáis ya, que tengo que limpiar!"). Y yo me fui, paseando bajo las estrellas y sintiendo envidia de los gatos que, encaramados a los tejados, aún tenían tiempo para contemplar la luna; porque yo debía regresar a mi guarida para levantarme temprano y presentar el informe correspondiente del éxito de mi misión.

Cuando Penny se convierte en Catwoman descubre muchas cosas, como cuáles son los bollitos preferidos de los espías, que los hackers no son gente peligrosa o que algunos superhéroes, en su vida secreta, visten de Armani.

Lo más divertido quizá fue el día que me pillaron intentando hackear la Casa Blanca. Bueno, no fue eso exactamente, pero salí con la sensación de que lo hubiera sido. Pero como este post me ha quedado ya muy largo, mejor os lo cuento otro día. 

Y recordad: cuando caiga la noche, mirad hacia los tejados; porque, a lo mejor, oculta entre las sombras, agazapada tras las chimeneas, veis a Catwoman.

11 febrero 2014

Internet Segura #SID2014

Pulsar para ir a la web internetsegura.com en ventana nueva

Hoy es el Día Internacional de la Internet Segura (Safer Internet Day #SID2014). Se celebra cada año, en febrero, promovido por la COMISIÓN EUROPEA. Tiene seguimiento en toda Europa y en más de 70 países de todo el mundo. El acto central es el III CONGRESO NACIONAL "JOVEN Y EN RED", organizado por el Centro de Seguridad en Internet para los menores en España, integrado en el Safer Internet Programme de la Comisión Europea.
Os animo a que entréis en la web oficial de la iniciativa, pinchando el banner superior.

No os perdais tampoco el blog de nuestro amigo Angelucho, porque parece que va a hacer algo.

Pensando en la seguridad en la red, aquí tenéis también un poco de humor sacado de la vida real:

- ¿Qué es ese papelito amarillo que llevas pegado en el móvil?
+Es el pin, por si acaso se me olvida.
* Mujer, no lo lleves pegado en el móvil. Pon uno que sea fácil de recordar, como 1234.


+Yo nunca me bajo nada raro ni pincho nada raro.
- Ah, ¿no? Y entonces este programa de minería de bitcoins ¿de dónde ha salido? ¿ha venido volando?
+ Pues sí, habrá venido volando, porque yo siempre tengo mucho cuidado. Y además, tengo el antivirus.
- ¿El que te paró el otro día ese troyano?
+Sí, el mismo.
- ¿Y dices que nunca haces nada raro?
+Pues no.

Yo nunca me río de mis insensatos; porque pienso que los juackers también podrían reírse de mí, pero no lo hacen. ¿Verdad que no, queridos? ;)


07 febrero 2014

Actualidad Rooted CON

Mientras prosigo con mis investigaciones para los próximos post, os dejo aquí con un resumen de lo último sobre la Rooted CON. Bien es verdad que podéis encontrar todo en su página web, pero aquí os dejo sintetizado lo más importante (hasta ahora). (Y perdón si me olvido de algo).

Nuevos patrocinadores se han ido añadiendo. Uno de ellos, Akamai, ha resultado imprescindible para que la organización nos incluya, como paquete de bienvenida una edición especial del libro "X1RED+SEGURA - Informando y educando", del cual ya os hablé aquí. No podéis imaginaros la ilusión que me ha hecho enterarme, porque yo quería hacerme con un ejemplar y no sabía cómo. Me parece todo un detalle que, en un congreso de tan alto nivel, a donde acuden ponentes y asistentes que saben tanto, se piense también en los que saben menos (incluso menos que yo). Ya estoy deseando tenerlo en mis manos y poder compartirlo con la familia y amigos.

Laboratorios: los RootedLabs son un conjunto de actividades formativas de alto nivel que tendrán lugar los días 3, 4 y 5 de Marzo. Como ésta es mi primera Rooted y no quiero que me "metaexplote" la cabeza, no me he apuntado a ninguno; pero si te animas y vas, luego nos lo cuentas.

La novedad de este año es el Corelan Bootcamp: cerca de 30 horas de formación avanzada de desarrollo de exploits, repartidas en dos días. Cuando a veces me acerco (digitalmente) a casa de los hackers para gorronear un poco de conocimiento, como Penny a gorronear comida a casa de sus vecinos, los he visto bastante entusiasmados con el asunto. Así es que, por algo será.

Otra novedad, asociada a la Rooted, es el RootedWarfare: iniciativa que surgió "con el propósito de ser el arsenal oficial de herramientas de RootedCon, facilitando el intercambio de conocimiento entre los miembros de la comunidad de seguridad, en particular reivindicando la enorme capacidad de los profesionales hispanoparlantes". Ahí es nada. El CFT aún no se ha abierto; pero puedes seguir su cuenta de twitter para mantenerte informado. (Actualizado: se acaba de abrir).

No te pierdas tampoco la lista actualizada de ponentes. A mí, solo con leerla, ya se me hace la boca agua: volveremos a oír hablar de las mentiras del Whatsapp, un fiscal contándonos por qué los hackers no escuchan y lo jueces no entienden los mapas (¿o no era eso?), los peligros del handware, las vulnerabilidades del 3G... y no echarán el cerrojo sin hablarnos antes de #Latch; y sabrás que, si vas a estar fuera mucho tiempo, además de la puerta, la luz, el gas y el agua, hay otra llave más que tienes que cerrar.
Todo eso y mucho más os espera en la que seguro va a ser la edición más importante del congreso hasta el momento. Donde contaremos con ponentes y un público internacionales (me ha dicho un pajarito que vienen del otro lado del charco y del estrecho).

¡Nos vemos en la Rooted CON!