Episodio 1: el arte de la intrusion
muy buen día y bienvenidos a mi podcast soy Gustavo Avella y vamos a hacer un breve análisis de el libro de Kevin Mitnick el arte de la intruición en él se plasman varias historias de hackers que han podido ingresar a sistemas de redes de computadores a sistemas de telefonía celular, a sistemas físicos, en donde el ingenio es el centro de todas estas intrusiones.
00:00:43 - Simplemente hay una frase para mí que resume todo el libro, mientras que los encargados de la seguridad en las empresas tienen que estar todo el tiempo al hacker solamente se necesita una oportunidad para entrar una grieta en la pared estas muchas de las veces se basan es en fallas en la configuración de los sistemas en fallas de seguridad física en fallas de seguridad, en protocolos, somos humanos y fallamos muchas de las veces sin querer.
00:01:27 - Así que bienvenidos, analicemos cada historia y entremos en contexto con cada historia.
00:01:35 - Nuestra primera historia se llama intrucción en los casinos por un millón de dólares.
00:01:40 - Esta historia es contada al nombre de Alex Mayfield que ocurre en la década de los noventas.
Él y un grupo de amigos están en Las Vegas y una novia de ellos amigos les dice por primera curiosidad y casualidad de la vida pues si las máquinas son computadores y ustedes pueden programar computadores no se podrían alterar.00:02:12 - Entonces, pues efectivamente ellos empezaron a hablar sobre el tema como molestando, como viendo a ver qué se les ocurría con respecto a eso.
00:02:23 - A un miembro de ese grupo sencillamente se le ocurrió que si estaban ahí es porque tendrían que haber existido alguna patente que se registrará en Estados Unidos decidió ir a Washington a revisar si existía dicha patente y lo que encontró efectivamente era esperarse al registrar la máquina existía un registro más de la redundancia de ella en dentro de los archivos encontró el código hexadecimal, pero obviamente no estaba en lenguaje máquina, ese no era un lenguaje que ellos pudieran interpretar. Entonces el grupo de amigos, el grupo de hacker, lo que hizo fue intentar descompilarlo, que es básicamente convertir la trama hexadecimal a un lenguaje que se pudiera entre entender en la programación cuando ya hicieron la descompilación de ese tipo de archivo y vieron que era factible pues decidieron bueno y por qué no compramos una máquina y vemos si esta si esto nos funciona efectivamente compraron una máquina y le bajaron le desinstalaron la rom que es básicamente una una memoria muy pequeñita de espacio en donde se almacena el programa en donde en donde se almacena para que se curra para que lo curra la cp o después de esto verifican cómo podían revisar y poder acceder a lo más interno de la máquina como lo hicieron de y vieron que las cartas eran manejadas con un rng que es un generador de números aleatorios. Este RNG tenía una falla en su construcción y en vez de generar números aleatoriamente generaba números pero bajo una trama casi que secuencial. Entonces se dieron cuenta que por ahí tal vez era la oportunidad de poder acceder. Inventar un sistema para sacar una ayuda mucho más visual a las cartas y con ella se dieron cuenta que efectivamente al sacar las cartas había un cierto tiempo en donde la máquina podía entregar el pleno más alto. Bueno, con base a ese conocimiento diseñaron un sistema que se pudiera plegar en una chaqueta, que se pudiera llevar en una y básicamente pusieron un motor de un celular en un zapato tal que le diera la opción de en qué momento tenía que jugar para que para que le diera el premio mayor efectivamente lo lo probaron, les fue bastante bien en ese sentido y en vez de seguir jugando se dieron cuenta que si eran muy muy llamativos y se ganaban todos los premios que no eran para nada normal sacar todos los premios mayores iba a crear algún tipo de sospecho que posiblemente si seguían ganando premios muy altos los iban a pillar entonces lo que hicieron básicamente fue modificar el sistema tal que les entregará premios más seguidos pero de menor valor tal que pasaré desapercibido efectivamente a los hackers no les gusta que los tengan relacionadas con nada por lo tanto quieren pasar desapercibidos en muchos sentidos la segunda historia o el segundo relato nos cuenta como comrade y el mejor amigo nio quedan inmersos en medio de un grupo terrorista islámico ellos básicamente o eso era lo que pensaban realmente nunca se llegó a tener claro de eso ellos eran jóvenes de 20 y 19 años pero pues realmente estaban muy entusiasmados y querían observar el mundo, querían ser de poder, por lo tanto se vieron inmiscuidos en las redes de Hackers y en una red de ellas los contacta un terrorista de rebeldía islámica. Bueno, en medio de tantos vaivenes de la vida les pide cierto tipo de cosas. Los muchachos realmente no estaban interesados en que les dieran absolutamente nada de dinero, aunque él siempre les insistía que tal vez sí les iba a apagar. Lo hacían más como por saber qué había más allá y qué tipo de información y hasta dónde podían llegar. Por eso este tipo de prácticas y este tipo de poder, el poder ingresar sin ser observado, el poder pasar desapercibido para muchas personas y adicionalmente el poder obtener información es un blanco para mucha de la gente que se interesa en este tipo de grupos ya que obtienen información en su mente clasificada y pues a la final los muchachos muy tempranamente no tienen como esa forma de llegar a un buen término ese tipo de ataques, muchas de las desescaen por la necesidad del dinero o del poder o quedan atrapados en medio de la redes de traficantes o de terroristas y no pueden salir. Por eso, la edad y la responsabilidad que conlleva el poder hacer este tipo de cosas es bastante importante. La tercera historia se titula los hackers de la prisión de Texas, en donde William Baddler y Danny, que son dos presidiarios, encuentran su fascinación por el tema de la computación de las redes y con base es un ingenio hacen toda una red interna con base al desconocimiento de toda la gente de la prisión y acceden a tener a internet a tener acceso a todo el mundo todo esto toda la historia está enmarca en un manto de muchas de las veces de ignorancia por el tema de que mucha gente no sabe que es lo que hacen y como lo hacen. Muchas de las veces los ataques vienen desde adentro de las mismas organizaciones hacia afuera. Eso es básicamente lo que estaba sucediendo ahí. Los firewall y toda la protección normalmente está de afuera hacia adentro, desde la red hacia la red interna. Pero y nosotros que hacemos para proteger nuestra red interna cuál es el problema en nuestras fallas de seguridad, hay que darnos cuenta que si alguien quiere hacer el daño, va a tener el tiempo, las necesidades, las ganas de hacerlo, va a intentarlo hacer de alguna manera, bien sea intentando violentar físicamente la parte de la seguridad o violentar dentro de la red interna, cualquier falla de seguridad, si sea un proxies, si sea un router o lo que sea.
00:10:29 - La siguiente historia se denomina Policies y Ladrones, en donde Mighty Costa son dos hackers de telefonías celular, los que se llaman Freaking. Ellos utilizaban la marcas en telefónica y con base a sus conocimientos, podían hacer llamadas internacionales, pero no quedando
00:10:55 - Más allá también hackeaban muchas cuentas empresariales, cuentas por ejemplo como el
00:11:02 - Tribunal de Estado, una cadena de hoteles en donde se hicieron pasar por clientes y pagaron todo prácticamente pues de gratis y también hackearon la cuenta de Boeing.
mala suerte que el FBI, los servicios secretos y un consultor de seguridad, se llamaba Don, que en ese momento estaban haciendo un seminario, los intentó, ellos intentando entrar dentro dentro de Boeing. Ellos como sabían que cuáles eran los procedimientos a seguir intentaron, no intentaron, perdón, eliminar el ataque sino por el contrario documentarlo para qué documentarlo para tener razones de peso para después intentar defender su posición de la intrusión hacia todo esto se basa en que muchas de las veces las contraseñas por ejemplo en el caso de el tribunal del estado eran fáciles de rastrear y por ejemplo en el caso de agricultura de la parte de los servidores era común la contraseña y además de ser común era la contraseña de su perusuario, o sea que tenía acceso directo a absolutamente toda la red de computadores.00:12:46 - Por eso es importante tomar la seguridad de las contraseñas y pues darse un tiempo para que no sean fáciles de esto.
es se titula Robin Hood Hacker y se es la historia de Adrián Gámez que es un hacker que normalmente se lo que hacía era detectar fallos en la seguridad y hacérselo saber a las empresas que fueron atacadas hay varias historias de él por ejemplo la vez que estuvo dentro de la red de mic la red de MSI y otras redes adicionales, pero todas llevan y tienen el mismo tinte, en la seguridad realmente estaba, como nos llaman, seguridad mediante oscuridad. Si no conocen, o sea, si la gente no sabe que existe ese acceso sencillamente no van a intentar ingresar, pero pues los hackers van a intentar abrir cualquier cosa desde cualquier lado entonces lo que van a hacer es básicamente intentar detectar puertos abiertos y por ahí intentar abrir lo mismo intentan revisar los proxys y en general intentar ingresar a la red interna cuando ya tiene acceso a un proxys es como si estuviera internamente la diferencia con el resto de ataques que normalmente hacía00:14:21 - Adrián era notificarle a las empresas que existía un riesgo de seguridad y ellos básicamente intentaban en el acorregirlos en el ataque que le hizo directamente a New York Times en vez de que ellos intentaran corregirlo se dieron cuenta que tenían acceso a unas cuentas y en vez de intentar corregirlos simplemente fueron a los tribunales y por eso fue condenado a Adrián. La sexta historia que vamos a cantar en este podcast se titula
00:14:54 - La sabiduría y la locura de las auditorías de seguridad. En esta está la frase que más me gusta de este libro y dice el dicho es cierto losísimos de seguridad tienen que ganar siempre el atacante le basta con ganar sólo una una vez de Dastin Dykes. Sí, efectivamente el atacante solamente, aunque una vez que ingrese es más complicado poder sacarlo de ese sistema. Como vimos en la historia de Adrián Lamu, muchas de las veces es complicadísimo tener que llegar hasta términos de tribunales para que se puedan salir de los sistemas. Toda esta historia, en una empresa farmacéutica intenta comprar una empresa más pequeña de ciberseguridad, pero que se llamaba Loft, que es la creadora de Loftcrack, una de las herramientas de los hackeos bastante comunes en la ciudad de seguridad. Bueno, esta empresa inició negociando con los hackers y ellos pues estaban como renuentes a hacer la negociación como tal. Empezando primero, ellos los hackers dijeron bueno no nos compre primero vamos a revisar su sistema veamos la seguridad que tienen ustedes acá y con respecto a si les gusta o no, pues negociamos, iniciaron la negociación y llegaron a afirmar cierto tipo de compromisos como parte del hackeo hasta donde pueden ingresar en el en la red del banco y hasta qué tipo de información podían entregar a quien entregarse el etcétera bueno todo todo se firmó firmaron cláusulas etcétera pero los los hackers iniciaron a ver bueno cómo vamos a poder ingresar y como era una empresa tan grande, ellos se dieron cuenta que la oficina que estaba en la que estaban negociando, estaban haciendo la negociación, tenía facilidad de acceso desde una cofetría bastante cercana, en ella instalaron un repetidor inalámbrico y la conectaron inalámbricamente las redes de ellos, entonces básicamente el problema ahí es que la red ya estaba conectada internamente, era tan simple como poner internet al abrigo pero la red local ya estaba influyendo, la red completamente ya no necesitaban tener que quitar cortafuegos y tener que pelearse por entrar en puertos sino que ya tenían todo el arsenal de hackeo directamente a su red. Era tan simple como poner un aparato inalámbrico para iniciar su búsqueda. En ella encontraron bastante información, hicieron bastantes trucos en la criptografía, en cuanto a las contraseñas. Bueno, hicieron una ingeniería social con respecto a muchas cosas que estaban sucediendo ahí y como siempre una de los problemas las contraseñas es más ellos fueron más allá fueron a ver bueno cómo podemos engañar no solamente la parte de la seguridad en cuanto al sistema tecnológico sino vamos a engañar a las personas efectivamente la empresa tenía unas puertas que se podían abrir de afuera hacia dentro pero con clave, pero de adentro hacia afuera se abrían simplemente con que estuviera la persona saliendo, o sea con detectores de proximidad. Bueno, precisamente ya sabían que poniendo un globo y inflando un globo y calentándolo era bastante probable que la puerta de saber era efectivamente, este fue una de las fallas, porque no solamente hay que tener las fallas de afuera hacia adentro si no hay que reportar las fallas de adentro de afuera que es básicamente una de las grandes fallas en los sistemas de seguridad no prever que posiblemente se necesite restringir el acceso también desde la parte interna de las compañías hacia afuera muchas de las veces la información se filtra es así teniendo alguien que les pueda colaborar desde desde la parte de adentro bueno hasta aquí llega este podcast pero sigamos ahondando con el resto de las historias de este muy buen libro bastante entretenido y continuamos con el siguiente podcast
00:20:19 - Muchas gracias.
00:20:22 - Todas estas historias que nos demuestran que una de las falsas grandes en todos los sistemas de seguridad o de seguridad es el hombre.
00:20:32 - El hombre cuando configura las máquinas, cuando no restringe adecuadamente los ingresos, los egresos cuando se confía en que simplemente porque no sepan en donde están los puertas abiertos lo que llaman seguridad de mediante oscuridad el atacante no va a no va a ingresar este tipo de prácticas suceden o las contraseñas, las contraseñas normalmente son las que vienen por defecto o supremamente fáciles de craquear para eso hay programas completamente adaptados a ese tipo de cosas entonces si es necesario y se hace suprimamente importante el conocer y reconocer que este tipo de fallas pueden suceder en nuestra vida personal como a nivel empresarial, hacer unos protocolos y unos sistemas bastante robustos y poderlos adaptar a nuestras necesidades. Acompáñeme en el siguiente podcast para seguir contando estas historias bastante entretenidas mucho gracias
