Para ser un buen policía, hay que probar cómo ser un excelente ladrón

Creador de la imagen: Alex Dukal. Protegida por licencia Creative Commons. http://www.circografico.com.ar/

Creador de la imagen: Alex Dukal. Protegida por licencia Creative Commons. http://www.circografico.com.ar/

La gente que me conoce de cerca, alega que soy un hinchapelotas. Que busco vulnerabilidades en cualquier sistema (no sólo de computación), que intento visualizar posibles peligros en cualquier lado, que siempre trato de tener un plan para el peor escenario posible en cada situación (por más tonta que sea). Y es cierto, tienen razón.

También dicen que generalmente esos peligros o vulnerabilidades son descabellados, que tienen pocas posibilidades de ocurrir y que estaré más tiempo pensando en mil cosas y preparando dos mil planes para cosas que seguramente no ocurran o que no sean tan graves. También tienen razón.

Suman, además, el que uno se pasa estudiando cosas (dicen) sin importancia, que pierdo el tiempo buscando horas y horas planos e historia de un simple encendedor (por ejemplo) o bien hasta el último detalle técnico del sitio-de-moda.com. Tampoco se equivocan.

Pero el tema más gracioso (aunque podría llamarse también “lamentable“), es que cuando no pueden hacer algo (o no saben hacerlo) o les pasa algo malo que no tenían previsto, suelen recurrir a mí para consultarme o pedir ayuda. Generalmente es en el terreno informático, aunque también acuden por cualquier otro tema porque suelo tener una visión distinta y en el peor de los casos (aunque no tenga mucha idea a veces), doy una solución alternativa (en el mejor, la final).

Eso se dá, simplemente, por los puntos que la gente ve en mí como molestos o equivocados. Me gusta estudiar, saber cómo funcionan en gran medida las cosas que uso y que nos rodean, adelantarme a los hechos, buscar puntos débiles, saber cómo pueden ser explotados y anticipar una solución antes del quiebre de ese punto. Y aclaro que no soy hacker o cracker, no trabajo en seguridad informática, ni tampoco robando personas en la calle. Pero de todas formas, la gente siempre pensará que formo parte de alguno de los tres grupos. Esa imagen se da porque junté ese conocimiento técnico que tengo, más lo que aprendí de la gente, más (a veces) el uso de algunas herramientas “del lado oscuro”. Algunos hechos que recuerdo:

  1. He entrado en computadoras de otra gente, pero sin hacer nada más (salvo en una que encontré imágenes de pedofilia, que terminó con todo el rígido borrado), para saber como proteger mejor la mía.
  2. He conseguido tarjetas de crédito válidas, pero sin haber usado ninguna para nada (alertando vía mail a los poseedores, junto a un paquete de medidas de seguridad para los conocidos).
  3. Armé en su momento una “biblioteca de virus”, junto a un par de virus propios hechos con generadores (que jamás distribuí), para saber que antivirus era el mejor y más confiable para usar.
  4. Me han hackeado dos veces y me sirvió para mejorar el sistema de seguridad en las plataformas de ventas, utilizando herramientas de hack (además del aviso del mismo hacker).
  5. He accedido a cuentas de mails de terceros que habían dejado abierta la sesión en cybers. Los alerté para que tengan más cuidado en la próxima (escribiendo desde su cuenta misma).
  6. He probado keyloggers, troyanos, etc. en mi propia máquina, para saber cómo defenderme y cómo prevenirme.
  7. He enviado mails haciéndome pasar por un banco que pedía passwords para reactivar cuentas a una de mis libretas de direcciones de gente conocida. A los que me contestaban les daba un tirón de orejas para que no hagan eso, que tengan más cuidado y darles (darnos, mejor dicho) una lección sobre ingeniería social.
  8. He entrado a la administración de toda una universidad (muy importante), usando un nombre y contraseña genéricos para el sistema que usaban (también puestos sobre aviso).
  9. Descubrí una vulnerabilidad importante en el sistema de “pago seguro” de uno de los sitios de remates. La explotación podía hacerse con un poco de lógica, aplicando conocimientos sobre la gente y detalles técnicos, y permitía virtualmente hacerse rico al explotador (en caso de estafar intensivamente) y podía realizarse tanto del lado comprador como del vendedor. El error lo ví al primer día de implementación y puse al sitio sobre aviso. No lo corrigieron. Un mes después empezaron las estafas con ese sistema. Aún hoy siguen con lo mismo.
  10. He aprovechado el descuidismo de la gente, para quitarles cosas y mostrárselas luego (con un serio movimiento de “no” con la cabeza).
  11. He abierto puertas con ganzúas caseras (todas las puertas eran mías). Sirvió para saber qué cerraduras son las más seguras.
  12. Me asaltaron 3 veces (dos veces con arma de fuego). Gracias al conocimiento de los delincuentes (de hace tiempo, ahora no tiene patrones ni códigos) y usando también un poco de manejo social (haciéndome pasar por padre de varios chicos en una, y de otro ladrón en las otras dos), creo que manejé bien las situaciones. En uno de los robos me quitaron la remera; en otro, $12 (teniendo encima $240 que pasaron desapercibidos), y el ladrón me dejó monedas para el colectivo y el desayuno y me agradeció con un apretón de manos (!?); en otro, $4 en monedas y el ladrón se quedó hablando conmigo y hasta se puso a llorar al final mientras me abrazaba (!?!?).

Por ese tipo de cosas, la gente suele confundir el aprender a mejorar en serio a ser ventajero o delincuente. Personalmente, creo que para ser un buen policía, hay que probar como ser un excelente ladrón. Muchos parecen no entender muy bien el concepto. Usar una herramienta de hackers para seguridad no es ser un hacker, abrir una puerta propia con ganzúa no nos convierte en robacasas, saber la forma en que nos pueden estafar no nos hace estafadores. No hay mejor punto de vista que el lado contrario a lo que uno piensa o hace. No se puede identificar o prevenir el peligro, si no se conoce el peligro en sí. De nada servirá reparar el daño si jamás pasamos por el peligro. La mejor forma de testear un escudo es dándole martillazos y sabiendo todo sobre martillo, escudo y persona que lo use (no mirando lo lindo y brillante que es solamente).

Así es como (aparte de los hechos puntualizados más arriba), he probados cds, cintas y dvds (prendiéndolos fuego, rayándolos, pasádoles alcohol, etc), he testeado paredes martillándolas, puertas atropellándolas, electrónicos en temperaturas extremas (altas o bajas) y cientos de etcéteras.

Alguien que no tiene conocimientos básicos (cuanto menos) de lo que usa y de lo circundante (entorno y personas incluídas), es una potencial víctima a futuro y hasta puede ser peligroso para otros. Y todo, por no pensar, informarse ni probar. Yo continuaré igual, pese a todo; hinchapelotas, pero feliz (y un poco más seguro).

PD: No pregunten sobre los puntos que dí, no los voy a explicar “paso a paso” ni tengo una escuelita de “avivagiles“. Aviso para los que no entendieron el post…

About these ads

Acerca de PiensoLuegoPiensoLuegoExisto (PLPLE)

Tratando de entender el mundo sin morir en el intento...
Esta entrada fue publicada en Filosofía, Informacion tecnica, Investigaciones, Mi Vida, Mis experiencias, Mis pensamientos, RECOMENDADOS, Seguridad, Sociedad, Tecnologia. Guarda el enlace permanente.

28 respuestas a Para ser un buen policía, hay que probar cómo ser un excelente ladrón

  1. Martín dijo:

    Cuando ví el título del artículo supuse erróneamente que era una crítica al sistema policial en nuestro país, en el sentido de que el policía ES al mismo tiempo delincuente (tomado en el más amplio de los espectros). No fue así, y me encontré con este artículo más que interesante; te felicito por lo que escribiste, decís una gran verdad. Me gustaría recalcar lo que hacen compañías automovilísticas japonesas (Toyota, si no me equivoco), que tiene que ver con el tema: suelen comprar autos de sus competidores más cercanos (Suzuki, Honda, Mitsubishi, etc), desarmarlos y ponerlos a prueba, para así ver vulnerabilidades y mejorar sus futuros modelos. Gran táctica, a mi parecer, aunque sospecho que se debe hacer en más de un ámbito (seguramente también en todo lo relacionado a electrónica).

    Saludos.

    • @Martín: Sin temor a mentirte, estuve más tiempo evaluando el título que lo que tardé en escribir el posteo. Sabía que iba a causar confusión sobre el contenido, pero no encontré otro mejor.

      Muy buen aporte, desconocía puntualmente ese caso, aunque siempre se hace (mucho más en trabajos de seguridad, ya sea informática o “real”). Creo que es la mejor táctica para mejorar y desde hace mucho tiempo ya la tengo inmersa en mi vida (hasta en lo personal).

      Muchas gracias por tu comentario y concepto!
      Saludos

  2. Me encanto tu post, especialmente la parte de los ladrones.

    Ah, yo también busco vulnerabilidades, está bueno para pasar el tiempo.

    Saludos!

    • @Patricio: Yo empecé por lo mismo (exceso de tiempo y un poco de curiosidad), pero después se me quedó como parte de la “maquinaria interna diaria” que tengo. Con la falta de tiempo que tengo ahora, se dificulta seguir investigando, pero siempre sigo haciéndolo.

      Saludos y me alegra que te haya gustado!

  3. Alex Dukal dijo:

    ¿Cuál es la excusa para usar una imagen mía (con licencia Creative Commons) sin mencionar la fuente?

    • @Alex: Realmente no sabía que era de tu sitio ni que poseía licencia.
      Desde hace un tiempito busco las fotos en imageshack.us solamente, porque suelen ser libres de distribución (salvo que posea alguna marca especial) y muchas veces (cuando lo hacía de los sitios) linkeaba a un sitio “ladri” en vez del original. Esta la saqué de allí también, tenía título en inglés.

      Ahora mismo estoy modificando el epígrafe citando tu sitio. Linkeo a la página principal, si necesitás un link a algún contenido especia, confirmame y lo cambio. También si querés que directamente la quite, no es problema tampoco.

      Perdón por lo ocurrido, pero cada vez se hace más difícil averiguar el sitio original emisor o creador, está lleno de réplicas sin citas por todos lados. Si tenés algún método que desconozca para eso, bienvenido también.

      Saludos, gracias y excelente trabajo!
      PLPLE

  4. Alex Dukal dijo:

    Gracias por el gesto. Y es muy cierto lo que decís, mucha, muchísima gente cree que porque algo está en internet se puede usar como si fuera propio, y hay tanto dando vueltas que a veces es complicado encontrar el orígen.
    ¿Solución? Puff Mas que “googlear” y ver si hay suerte … no sé …
    Con las imágenes es todo un tema, yo publico mis cosas con esa licencia (que creo que es bastante justa) y aún así he encontrado imágenes mías en sitios llenos de publicidades! (cosa que la licencia no permite). Básicamente se trata de respeto, no? Pero es un tema larguísimo y lleno de vericuetos.
    Saludos!

    • @Alex: No te preocupes; no es un gesto, es lo que debe hacerse. Uno a veces puede negar una ley tonta, pero en estos casos es completamente lógica y correcta. Es lo menos que puedo hacer!

      Sí, ese tipo de gente que nombrás son los que piensan que internet es tierra de nadie y todo es transferible (gratis y sin referencias). Ni hablemos de cuestiones de moral o de deber, porque desconocen ambos términos. Como bien decís al final, es también una cuestión de respeto (pero si no conocen los dos primeros términos, mucho menos conocerán éste).
      Ellos hacen que los verdaderos creadores pierdan sus fuentes de trabajo gracias a la replicación infinita de material que no es de ellos (voy a hacer un post al respecto en algún momento).

      Entonces sigue sin haber mucha solución. Yo pensaba en algo como una firma por EXIF o similares, pero ví que muchos programas eliminan automáticamente esa info. Tal vez podrías agregar una marca de agua a las fotos de tu portfolio para que se sepa su procedencia si la sacan sin permiso. Sé que se puede quitar de todas formas, pero ya llevaría más trabajo (lo que reduciría las copias igual).

      Bueno, muchos saludos, gracias por el permiso y excelentes ilustraciones!!
      Nos vemos
      PLPLE

  5. Pingback: 7 Grandes errores empresariales que permiten arruinarle la vida a alguien « ▀▄ PiensoLuegoPiensoLuegoExisto ▄▀

  6. Leandro Echevarría dijo:

    También es de destacar que la gente malentiende el concepto de “hacker”. Todos piensan que son ladrones informáticos, cuando es realmente gente curiosa como vos y yo. Me he identificado con varias cosas que contás, en especial el hecho de tratar de encontrar vulnerabilidades y/o dedicarle poder de pensamiento a cosas que muchos creerían innecesarias, tanto para aprender uno mismo como para preveer situaciones indeseables.
    Si hay una frase que define lo que intento expresar perfectamente, es una que dijo el gran Einstein hace unos cuantos años ya: “Lo importante es no dejar de hacerse preguntas”.

    Saludos!

    • @Leandro: Sí, el “hacker” es un tipo de delincuente fantasmal malvado y taimado que hace todo lo posible para joder a los demás… porque sí. En cuento no pueden entrar al Messenger, enseguida empiezan “me hackearon”! :roll:

      Es muy bueno que hagas eso. Yo me preocupo el día en que no me cuestiono cosas. Ya es una forma de vida. Este blog es creado a través de esos cuestionamientos a situaciones cotidianas, por ejemplo. Y veo que por suerte hay mucha gente parecida (debo decir que mucha más de la que hubiese imaginado inicialmente).

      Excelente la frase de Einstein, resume bastante nuestra forma de manejarnos en el mundo al parecer.

      Saludos

  7. kilian dijo:

    dios que bueno este post me ha encantado, me parece perfecto lo que haces. tomare ejemplo

  8. marrazkiak dijo:

    Qué bueno!!!

    Me has hecho reir :-)

  9. Pingback: La inseguridad de las ‘listas de contraseñas prohibidas’ en seguridad informática « ▀▄ PiensoLuegoPiensoLuegoExisto ▄▀ (PLPLE)

  10. Pingback: El lado oscuro de Dios, el lado claro del Diablo « ▀▄ PiensoLuegoPiensoLuegoExisto ▄▀ (PLPLE)

  11. Sebastián dijo:

    A mi quisieron asaltarme una sola vez pero tuve mucha suerte y me sucedio algo similar a vos, aunque no para tanto, o sea, no terminé abrazado con el man ni me dejo monedas para el colectivo, eso hay que vivirlo para creerlo!!!

    Pero en realidad escribo esto porque me sorprendió lo que escribis en el punto 1, me refiero a lo de “borrar” un disco rígido, tengo entendido que es algo imposible de hacer en forma completa y definitiva ya que la información no se “borra” sino que se reescribe pero que con distintos programas se puede recuperar, no importa cuantas veces se formatee, por eso los militares en Estados Unidos directamente funden los discos…

    Repito, no se si esto es verdad, pero es lo que yo tengo entendido, hay gente que cree que limpiando la papelera o formateando el equipo se termina todo y eso se que no es asi porque yo mismo recuperé montones de archivos, pero no sabia que se podia borrar de modo que sea irrecuperable y en realidad es algo que me interesa mucho porque estoy por vender esta notebook y solamente por histeriquismo me gustaria mucho poder “limpiar” el disco como si nunca lo hubiera usado, no tenés que responderme sino querés, tu blog no está para eso, pero si esto es posible y si en algún momento tenés tiempo, te lo agradeceria un montón.

    Saludos.

    • @Sebastián: Tengo que extenderme un poco más sobre el tema, porque suelo adoptar ciertas posturas, gestos o aplicar un poco de psicología (barata y empírica, nada estudiado) para que me vaya mejor en esos casos. Esa puesta en escena casi siempre ayuda.

      Lo del borrado de rígidos que decís, es cierto en gran parte. Aunque muchas veces ni con la mejor herramienta se puede recuperar parte de algo formateado de forma común, generalmente se puede.
      No quiero extenderme mucho, pero el formateo es reescritura de datos sobre otros ya existentes. Al ser un medio físico que actúa con magnetos, hay posibilidades que la capa inferior de datos pueda ser legible aplicando ciertas técnicas. Inclusive con hardware específico, pueden llegarse a leer varias capas anteriores.

      Como para ilustrarte mejor, imaginate un bloc de hojas finito. Si vos escribís sobre la de arriba, probablemente dejes rastros en la de abajo (que pueden ser notados casi a simple vista). Ahora, si tomás una lupa y polvo de lápiz, probablemente puedas ver lo escrito hasta en la segunda, tercera o cuarta hoja.
      En la PC pasa lo mismo. El bloc entero sería el rígido; las hojas, las capas de ese rígido; la vista, una herramienta ‘light’ de recuperación; la lupa y el polvo de lápiz, herramientas más sofisticadas para reflotar esa legibilidad.

      Los dos tipos de formateo trabajan casi de la misma forma. El ‘rápido’, lo único que hace es eliminar la cabecera de datos (en donde se indexa qué datos hay y en dónde están). En el ‘completo’, se escribe una secuencia aleatoria de 0 y 1 por todo el disco, pisando lo demás.
      Obviamente, en la primer forma es mucho más fácil recuperar; ya con la segunda, es más difícil.

      Una muestra de eso es que muchos virus sobreviven a los formateos, y hasta hay programas especiales que se esconden, se ‘autorecuperan’ y se ejecutan luego de un formateo y sin intervención alguna.

      De todas formas, hay herramientas para hacer un disco ilegible para casi cualquier recuperador, y no hay mucha ciencia detrás de eso. La solución es hacer varios formateos ‘completos’ secuenciales; de esa forma, más y más capas serán reescritas con información irrelevante obstaculizando la recuperación.
      Ahora no recuerdo los programas, pero sé que hay varios que hacen eso de forma automática (uno creo que se llamaba ‘Total Erase’ o similar, y hay otros de McAfee o Norton). Pero bien puede hacerse con el que uses comunmente, pasándolo varias veces (siempre de forma ‘completa’).

      Todo eso no te asegura la no-recuperación, pero sí lo hace casi imposible. Y efectivamente, la mejor forma de borrar es rompiendo el rígido (quemándolo a altas temperaturas; o bien como en la película “Jurado en fuga”, usando grandes magnetos electrónicos sobre las unidades).

      No te preocupes que siempre que pueda ayudarte (por tiempos) y sepa algo del tema, acá estoy. Al final me extendí bastante, pero creo que quedó un poco más claro. Espero que te haya sido de ayuda.

      Saludos y suerte!

  12. Sebastián dijo:

    Muchas gracias, voy a probar haciendo eso que me decis, igual es solo por obsesivo nomás.

    Saludos.

  13. Sebastián dijo:

    Al igual que la vez anterior, una parte de tu respuesta me dejo pensando y me creo otra duda de esas que no te dejan dormir…

    Cuando decis que hay virus o programas que sobreviven a un formateo, me imagino que eso no significa necesariamente que sean indetectable… ¿o si?

    O mejor dicho, ¿si mi antivirus(*) me informa que no hay problemas de seguridad, suplantación de identidad ni nada, debo creerle?

    *Por si las dudas, suelo usar la versión gratuita de AVG descargada del sitio oficial, pero como estuve formateando estoy disfrutando nuevamente la versión de prueba de Norton.

    Ahora si, quiero creer que esta haya sido la última, en serious.

    • @Sebastián: Bueno che, la seguridad es primordial, pero que tampoco te quite el sueño!
      Uff, otra vez es un tema largo. Me parece que voy a tener que empezar a hacer posts al respecto. :lol:

      Igual te resumo: hay virus/malware indetectable, y que tu antivirus diga que es seguro no es siempre cierto.
      Los anti(virus/malware/spam, etc) funcionan como contracódigo de un virus conocido. O sea, para sacar la vacuna, tienen que conocer el virus (como en la medicina tradicional). Si desconocen el código, no pueden tener una vacuna; es más, ni siquiera pueden reconocer la enfermedad.
      Por ello salieron los escáners ‘sensibles’, que intentan ver qué hace determinado código y qué tanto porcentaje tienen de otros conocidos en su cadena. Esto aporta algo desbalanceado: por un lado, van a encontrar más riesgos sin necesidad de conocer el virus al 100%; pero por el otro, van a tomar como amenazas programas totalmente limpios.

      Eso generalmente se arregla con el tiempo. Un virus nuevo sale, se expande, se detecta, se disecciona, se analiza y se obtiene el contracódigo. Y eso pasa con CADA virus nuevo. Informes viejos reportan que se estima que se crean unos 300 virus DIARIOS en todo el mundo (aunque muy pocos ven la luz).
      Ese lapso anterior al contracódigo se lo llama “0-day” y es cuando venden más caros los programas o virus (si es que están en venta) porque los hace indetectables en la mayoría de los casos.
      En un informe de una empresa de seguridad privada, tomaron unos 200 virus “0-day” y los escanearon con todos los antivirus del mercado: descubrieron que menos del 4% los detectaba como ‘posible amenaza’ (sin precisiones y sin posibilidad de limpieza). El resto los daba como ‘ejecutá tranquilo pibe’. Imaginate. Pero lo raro es que el informe volvió a escanear un año después esos mismos virus (sin versiones nuevas) con antivirus en sus últimas versiones/actualizaciones… y sólo el 50% detectó la amenaza (y de ese total, un 70% como ‘genéricos’)…

      Antes de que te suicides y mates a todas tus pc’s ( :lol: ), te digo que la mejor contramedida es el sentido común. Si bien no soy un ejemplo de seguridad, desde hace unos 4 años que no uso antivirus, y desde hace unos 2 que bajé el firewall (tengo ambos, pero deshabilitados). Desde esa vez, no tuve una sola infección o intrusión ;-)

      Saludos y a cuidarse sin alarmas!

  14. Rastafari dijo:

    Muy buen post. Sin pretender me identifico con vos, pues desde peque mi padre me enseño a analizar no solo las situaciones sino las cosas y he aprendido muchas cosas algunas de solo sentido comun pero que las persona no lo aplican, y no se por que!; aunque me falta mucho por aprender, gracias a Dios, no he tenido que experimentar mucho para saber cosas. Algo que me molesta de la gente es que tienen un problema y arman un zaperoco y muchas veces la solucion es muy facil y peor la prevencion era mucho mas que facil, ademas que prevenir sale mas economico que solucionar.
    A veces me han molestado por saber cosas y o por cuestionar los procedimientos o proyectos, pero me es indiferente lo que digan. Al final se daran cuenta sobre lo una ha dicho asi no le los respectivos creditos.

    • @Rastafari: Muchas gracias! Me alegro que hayas aprendido también a desmenuzar las cosas. En mi casa también me inculcaron (algo) en ese sentido, pero me gustó especializarlo porque me pareció el camino correcto a muchas cosas.
      Experimentar, siempre experimentamos. Tener una solución correcta también es experiencia. Lo que ocurre con la sociedad actual es que quieren todo fácil, y por ello no aprenden ni de su pasado ni en cómo solucionar el presente. Por eso siempre repiten los errores.

      Lo del cuestionamiento de los otros, siempre pasa. Es simplemente porque al salirse del molde (para bien o para mal) uno destaca y lo toman como amenaza. Hay un dicho que reza “clavo que sobresale siempre es martillado”. Lo diferente nunca es bien aceptado.

      Saludos!

  15. A.APAZA dijo:

    todo el tiempo trato de que mis camaradas traten de ser mejores de lo que son, pero se conforman con lo que son, sin embargo mi persona y algunos que apoyan, les explico que para mi primero es la puntualidad en el trabajo, disciplina, personalidad, etica y ser honesto consigo mismo y con los demas camaradas policias y con la sociadad.

Dejar una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s