▀▄ PiensoLuegoPiensoLuegoExisto ▄▀

Viernes 13 Marzo, 2009

Para ser un buen policía, hay que probar cómo ser un excelente ladrón

Archivado en: Filosofía, Informacion tecnica, Investigaciones, Mi Vida, Mis Comentarios, Mis experiencias, Mis pensamientos, Seguridad, Sociedad, Tecnologia — PiensoLuegoPiensoLuegoExisto @ 05:25
Creador de la imagen: Alex Dukal. Protegida por licencia Creative Commons. http://www.circografico.com.ar/

Creador de la imagen: Alex Dukal. Protegida por licencia Creative Commons. http://www.circografico.com.ar/

La gente que me conoce de cerca, alega que soy un hinchapelotas. Que busco vulnerabilidades en cualquier sistema (no sólo de computación), que intento visualizar posibles peligros en cualquier lado, que siempre trato de tener un plan para el peor escenario posible en cada situación (por más tonta que sea). Y es cierto, tienen razón.

También dicen que generalmente esos peligros o vulnerabilidades son descabellados, que tienen pocas posibilidades de ocurrir y que estaré más tiempo pensando en mil cosas y preparando dos mil planes para cosas que seguramente no ocurran o que no sean tan graves. También tienen razón.

Suman, además, el que uno se pasa estudiando cosas (dicen) sin importancia, que pierdo el tiempo buscando horas y horas planos e historia de un simple encendedor (por ejemplo) o bien hasta el último detalle técnico del sitio-de-moda.com. Tampoco se equivocan.

Pero el tema más gracioso (aunque podría llamarse también “lamentable“), es que cuando no pueden hacer algo (o no saben hacerlo) o les pasa algo malo que no tenían previsto, suelen recurrir a mí para consultarme o pedir ayuda. Generalmente es en el terreno informático, aunque también acuden por cualquier otro tema porque suelo tener una visión distinta y en el peor de los casos (aunque no tenga mucha idea a veces), doy una solución alternativa (en el mejor, la final).

Eso se dá, simplemente, por los puntos que la gente ve en mí como molestos o equivocados. Me gusta estudiar, saber cómo funcionan en gran medida las cosas que uso y que nos rodean, adelantarme a los hechos, buscar puntos débiles, saber cómo pueden ser explotados y anticipar una solución antes del quiebre de ese punto. Y aclaro que no soy hacker o cracker, no trabajo en seguridad informática, ni tampoco robando personas en la calle. Pero de todas formas, la gente siempre pensará que formo parte de alguno de los tres grupos. Esa imagen se da porque junté ese conocimiento técnico que tengo, más lo que aprendí de la gente, más (a veces) el uso de algunas herramientas “del lado oscuro”. Algunos hechos que recuerdo:

  1. He entrado en computadoras de otra gente, pero sin hacer nada más (salvo en una que encontré imágenes de pedofilia, que terminó con todo el rígido borrado), para saber como proteger mejor la mía.
  2. He conseguido tarjetas de crédito válidas, pero sin haber usado ninguna para nada (alertando vía mail a los poseedores, junto a un paquete de medidas de seguridad para los conocidos).
  3. Armé en su momento una “biblioteca de virus”, junto a un par de virus propios hechos con generadores (que jamás distribuí), para saber que antivirus era el mejor y más confiable para usar.
  4. Me han hackeado dos veces y me sirvió para mejorar el sistema de seguridad en las plataformas de ventas, utilizando herramientas de hack (además del aviso del mismo hacker).
  5. He accedido a cuentas de mails de terceros que habían dejado abierta la sesión en cybers. Los alerté para que tengan más cuidado en la próxima (escribiendo desde su cuenta misma).
  6. He probado keyloggers, troyanos, etc. en mi propia máquina, para saber cómo defenderme y cómo prevenirme.
  7. He enviado mails haciéndome pasar por un banco que pedía passwords para reactivar cuentas a una de mis libretas de direcciones de gente conocida. A los que me contestaban les daba un tirón de orejas para que no hagan eso, que tengan más cuidado y darles (darnos, mejor dicho) una lección sobre ingeniería social.
  8. He entrado a la administración de toda una universidad (muy importante), usando un nombre y contraseña genéricos para el sistema que usaban (también puestos sobre aviso).
  9. Descubrí una vulnerabilidad importante en el sistema de “pago seguro” de uno de los sitios de remates. La explotación podía hacerse con un poco de lógica, aplicando conocimientos sobre la gente y detalles técnicos, y permitía virtualmente hacerse rico al explotador (en caso de estafar intensivamente) y podía realizarse tanto del lado comprador como del vendedor. El error lo ví al primer día de implementación y puse al sitio sobre aviso. No lo corrigieron. Un mes después empezaron las estafas con ese sistema. Aún hoy siguen con lo mismo.
  10. He aprovechado el descuidismo de la gente, para quitarles cosas y mostrárselas luego (con un serio movimiento de “no” con la cabeza).
  11. He abierto puertas con ganzúas caseras (todas las puertas eran mías). Sirvió para saber qué cerraduras son las más seguras.
  12. Me asaltaron 3 veces (dos veces con arma de fuego). Gracias al conocimiento de los delincuentes (de hace tiempo, ahora no tiene patrones ni códigos) y usando también un poco de manejo social (haciéndome pasar por padre de varios chicos en una, y de otro ladrón en las otras dos), creo que manejé bien las situaciones. En uno de los robos me quitaron la remera; en otro, $12 (teniendo encima $240 que pasaron desapercibidos), y el ladrón me dejó monedas para el colectivo y el desayuno y me agradeció con un apretón de manos (!?); en otro, $4 en monedas y el ladrón se quedó hablando conmigo y hasta se puso a llorar al final mientras me abrazaba (!?!?).

Por ese tipo de cosas, la gente suele confundir el aprender a mejorar en serio a ser ventajero o delincuente. Personalmente, creo que para ser un buen policía, hay que probar como ser un excelente ladrón. Muchos parecen no entender muy bien el concepto. Usar una herramienta de hackers para seguridad no es ser un hacker, abrir una puerta propia con ganzúa no nos convierte en robacasas, saber la forma en que nos pueden estafar no nos hace estafadores. No hay mejor punto de vista que el lado contrario a lo que uno piensa o hace. No se puede identificar o prevenir el peligro, si no se conoce el peligro en sí. De nada servirá reparar el daño si jamás pasamos por el peligro. La mejor forma de testear un escudo es dándole martillazos y sabiendo todo sobre martillo, escudo y persona que lo use (no mirando lo lindo y brillante que es solamente).

Así es como (aparte de los hechos puntualizados más arriba), he probados cds, cintas y dvds (prendiéndolos fuego, rayándolos, pasádoles alcohol, etc), he testeado paredes martillándolas, puertas atropellándolas, electrónicos en temperaturas extremas (altas o bajas) y cientos de etcéteras.

Alguien que no tiene conocimientos básicos (cuanto menos) de lo que usa y de lo circundante (entorno y personas incluídas), es una potencial víctima a futuro y hasta puede ser peligroso para otros. Y todo, por no pensar, informarse ni probar. Yo continuaré igual, pese a todo; hinchapelotas, pero feliz (y un poco más seguro).

PD: No pregunten sobre los puntos que dí, no los voy a explicar “paso a paso” ni tengo una escuelita de “avivagiles“. Aviso para los que no entendieron el post…

17 comentarios »

  1. Cuando ví el título del artículo supuse erróneamente que era una crítica al sistema policial en nuestro país, en el sentido de que el policía ES al mismo tiempo delincuente (tomado en el más amplio de los espectros). No fue así, y me encontré con este artículo más que interesante; te felicito por lo que escribiste, decís una gran verdad. Me gustaría recalcar lo que hacen compañías automovilísticas japonesas (Toyota, si no me equivoco), que tiene que ver con el tema: suelen comprar autos de sus competidores más cercanos (Suzuki, Honda, Mitsubishi, etc), desarmarlos y ponerlos a prueba, para así ver vulnerabilidades y mejorar sus futuros modelos. Gran táctica, a mi parecer, aunque sospecho que se debe hacer en más de un ámbito (seguramente también en todo lo relacionado a electrónica).

    Saludos.

    comentario por Martín — Viernes 13 Marzo, 2009 @ 13:10

  2. @Martín: Sin temor a mentirte, estuve más tiempo evaluando el título que lo que tardé en escribir el posteo. Sabía que iba a causar confusión sobre el contenido, pero no encontré otro mejor.

    Muy buen aporte, desconocía puntualmente ese caso, aunque siempre se hace (mucho más en trabajos de seguridad, ya sea informática o “real”). Creo que es la mejor táctica para mejorar y desde hace mucho tiempo ya la tengo inmersa en mi vida (hasta en lo personal).

    Muchas gracias por tu comentario y concepto!
    Saludos

    comentario por PiensoLuegoPiensoLuegoExisto — Viernes 13 Marzo, 2009 @ 21:58

  3. Me encanto tu post, especialmente la parte de los ladrones.

    Ah, yo también busco vulnerabilidades, está bueno para pasar el tiempo.

    Saludos!

    comentario por Patricio de Moreno — Viernes 13 Marzo, 2009 @ 22:41

  4. @Patricio: Yo empecé por lo mismo (exceso de tiempo y un poco de curiosidad), pero después se me quedó como parte de la “maquinaria interna diaria” que tengo. Con la falta de tiempo que tengo ahora, se dificulta seguir investigando, pero siempre sigo haciéndolo.

    Saludos y me alegra que te haya gustado!

    comentario por PiensoLuegoPiensoLuegoExisto — Viernes 13 Marzo, 2009 @ 23:52

  5. PLPLE, te invito a visitar http://www.patriciodemoreno.com.ar/2009/03/yo-cumplo-ahora-el-festejo.html

    Saludos!

    comentario por Patricio de Moreno — Domingo 15 Marzo, 2009 @ 03:02

  6. @Patricio: Excelente, ya pasé a comentarte!

    Saludos y suerte

    comentario por PiensoLuegoPiensoLuegoExisto — Domingo 15 Marzo, 2009 @ 04:05

  7. ¿Cuál es la excusa para usar una imagen mía (con licencia Creative Commons) sin mencionar la fuente?

    comentario por Alex Dukal — Sábado 21 Marzo, 2009 @ 15:36

  8. @Alex: Realmente no sabía que era de tu sitio ni que poseía licencia.
    Desde hace un tiempito busco las fotos en imageshack.us solamente, porque suelen ser libres de distribución (salvo que posea alguna marca especial) y muchas veces (cuando lo hacía de los sitios) linkeaba a un sitio “ladri” en vez del original. Esta la saqué de allí también, tenía título en inglés.

    Ahora mismo estoy modificando el epígrafe citando tu sitio. Linkeo a la página principal, si necesitás un link a algún contenido especia, confirmame y lo cambio. También si querés que directamente la quite, no es problema tampoco.

    Perdón por lo ocurrido, pero cada vez se hace más difícil averiguar el sitio original emisor o creador, está lleno de réplicas sin citas por todos lados. Si tenés algún método que desconozca para eso, bienvenido también.

    Saludos, gracias y excelente trabajo!
    PLPLE

    comentario por PiensoLuegoPiensoLuegoExisto — Sábado 21 Marzo, 2009 @ 17:34

  9. Gracias por el gesto. Y es muy cierto lo que decís, mucha, muchísima gente cree que porque algo está en internet se puede usar como si fuera propio, y hay tanto dando vueltas que a veces es complicado encontrar el orígen.
    ¿Solución? Puff Mas que “googlear” y ver si hay suerte … no sé …
    Con las imágenes es todo un tema, yo publico mis cosas con esa licencia (que creo que es bastante justa) y aún así he encontrado imágenes mías en sitios llenos de publicidades! (cosa que la licencia no permite). Básicamente se trata de respeto, no? Pero es un tema larguísimo y lleno de vericuetos.
    Saludos!

    comentario por Alex Dukal — Sábado 21 Marzo, 2009 @ 17:54

  10. @Alex: No te preocupes; no es un gesto, es lo que debe hacerse. Uno a veces puede negar una ley tonta, pero en estos casos es completamente lógica y correcta. Es lo menos que puedo hacer!

    Sí, ese tipo de gente que nombrás son los que piensan que internet es tierra de nadie y todo es transferible (gratis y sin referencias). Ni hablemos de cuestiones de moral o de deber, porque desconocen ambos términos. Como bien decís al final, es también una cuestión de respeto (pero si no conocen los dos primeros términos, mucho menos conocerán éste).
    Ellos hacen que los verdaderos creadores pierdan sus fuentes de trabajo gracias a la replicación infinita de material que no es de ellos (voy a hacer un post al respecto en algún momento).

    Entonces sigue sin haber mucha solución. Yo pensaba en algo como una firma por EXIF o similares, pero ví que muchos programas eliminan automáticamente esa info. Tal vez podrías agregar una marca de agua a las fotos de tu portfolio para que se sepa su procedencia si la sacan sin permiso. Sé que se puede quitar de todas formas, pero ya llevaría más trabajo (lo que reduciría las copias igual).

    Bueno, muchos saludos, gracias por el permiso y excelentes ilustraciones!!
    Nos vemos
    PLPLE

    comentario por PiensoLuegoPiensoLuegoExisto — Domingo 22 Marzo, 2009 @ 04:04

  11. [...] la técnica del pensar del lado contrario, descubrí esas zonas oscuras que permiten que una persona maliciosa use técnicas muy fáciles [...]

    Pingback por 7 Grandes errores empresariales que permiten arruinarle la vida a alguien « ▀▄ PiensoLuegoPiensoLuegoExisto ▄▀ — Lunes 23 Marzo, 2009 @ 10:47

  12. También es de destacar que la gente malentiende el concepto de “hacker”. Todos piensan que son ladrones informáticos, cuando es realmente gente curiosa como vos y yo. Me he identificado con varias cosas que contás, en especial el hecho de tratar de encontrar vulnerabilidades y/o dedicarle poder de pensamiento a cosas que muchos creerían innecesarias, tanto para aprender uno mismo como para preveer situaciones indeseables.
    Si hay una frase que define lo que intento expresar perfectamente, es una que dijo el gran Einstein hace unos cuantos años ya: “Lo importante es no dejar de hacerse preguntas”.

    Saludos!

    comentario por Leandro Echevarría — Jueves 26 Marzo, 2009 @ 00:41

  13. @Leandro: Sí, el “hacker” es un tipo de delincuente fantasmal malvado y taimado que hace todo lo posible para joder a los demás… porque sí. En cuento no pueden entrar al Messenger, enseguida empiezan “me hackearon”! :roll:

    Es muy bueno que hagas eso. Yo me preocupo el día en que no me cuestiono cosas. Ya es una forma de vida. Este blog es creado a través de esos cuestionamientos a situaciones cotidianas, por ejemplo. Y veo que por suerte hay mucha gente parecida (debo decir que mucha más de la que hubiese imaginado inicialmente).

    Excelente la frase de Einstein, resume bastante nuestra forma de manejarnos en el mundo al parecer.

    Saludos

    comentario por PiensoLuegoPiensoLuegoExisto — Jueves 26 Marzo, 2009 @ 01:35

  14. dios que bueno este post me ha encantado, me parece perfecto lo que haces. tomare ejemplo

    comentario por kilian — Martes 28 Abril, 2009 @ 06:03

  15. @Kilian: Gracias, me alegro que te haya gustado y que pruebes por tí mismo! Saludos

    comentario por PiensoLuegoPiensoLuegoExisto — Miércoles 29 Abril, 2009 @ 14:00

  16. Qué bueno!!!

    Me has hecho reir :-)

    comentario por marrazkiak — Domingo 5 Julio, 2009 @ 08:35

  17. @marrazkiak: Me alegro que haya servido! Saludos y nos vemos.

    comentario por PiensoLuegoPiensoLuegoExisto — Lunes 6 Julio, 2009 @ 02:55


Canal RSS de los comentarios de la entrada. URI para TrackBack.

Deja un comentario

Blog de WordPress.com.