domingo, 28 de julio de 2013

¿Hackeado?


Hace poco cambie la contraseña de toda la cuenta de gmail y de una vez verifique que lo hice correctamente logueandome a la misma, es decir una verificación adicional a la que ofrece el sistema de google al cambiar la contraseña. Luego de unos días sin revisar esta cuenta, suelen pasar no solo días, sino incluso semanas sin que la revise dado que la actividad en ella es bastante insignificante: la mayor parte del correo que recibo es spam y son contados los correos que alguna vez he recibido que no lo sean, casi nulos los comentarios que se hacen el blog (la mayoría los he hecho yo mismo), eso a pesar de los seguidores que tengo (según google), a los cuales respeto, pero con los que francamente no he tenido casi ningún contacto ni virtual, ni real. No quiero decir que debería ser de otro modo. Mis saludos a ellos, pero ni idea de por qué me siguen ¿por qué debería saberlo?.

Una vez instale y configure un cliente de correo que me cargaba todos los emails que tenía de cada una de las cuentas de una vez, pero decidí prescindir de ese sistema luego que me confundiera más de una vez al responder los correos, porque el sistema no discriminaba que cuando  quería responder a un correo debería hacerlo (por defecto) con la misma dirección de correo a la que se envio, asumia una sola dirección de correo de respuesta para todos los correos que recibía. Casi siempre afiebrado por responder me costaba reparar en ese detalle, con lo que podía perder el anonimato o el orden en mis "redes sociales"  que me interesaba mantener.

El caso es que luego de cambiar la contraseña de esta cuenta de google y al volver a intentar acceder a la misma simplemente no podía. Esto me puso nervioso. Pero la razón no es simplemente que no pudiese acceder a la cuenta con la contraseña que había requeterevisado, incluso la escribí en papel, sino que además era algo que me temía. Sucede que unos 2 o 3 días atrás descubrí en el directorio home de la cuenta de usuario de la computadora que uso, con un sistema operativo Debian, 3 archivos muy raros con extensión WAD y con unas fechas de 4 o 5 meses atrás, cuando el sistema operativo lo había instalado hace a penas 1 o 2 semanas.  Eso era simplemente algo que no podía ser. En primer lugar cuando se crea una cuenta de usuario jamás aparecen esa clase de archivos en el directorio home, de hecho en ese directorio los archivos que se instalan están ocultos o en otros subdirectorios, pero esos eran perfectamente visibles. Además allí no debía haber ningún archivo con esas fechas porque al crear  una cuenta de usuario todos los archivos se crean con la fecha actual y la fecha del computador siempre estuvo bien. Lo mismo pasa al descargar un archivo de Internet este se copia con la fecha y hora en la cual se descargo. De hecho la fecha del resto de los archivos era consistente excepto la de esos extraños archivos .WAD.

Cuando vi eso me asuste e inmediatamente en lo que pensé fue en reinstalar el sistema operativo. Desde luego también pensé en escribir uno que otro correo para consultar sobre aquello (aun no lo he hecho). Según wikiperia los archivos wad o los archivos con esa extensión, generalmente son usados por las consolas Wii o el juego de Doom para almacenar datos. Lo que más me rima es que alguien halla estado utilizando mi computadora para jugar Doom, pero no me causa ninguna gracia. Revise los paquetes de instalación y no había ningún juego de Doom instalado. Procedí también a cambiar todas las contraseñas de mis cuentas de correo, esto lo hice con un CD de arranque de Linux, que todos deberiamos tener para esos menesteres. Logre cambiarlas todas, excepto la de hotmail, ahora outlook. La razón por la que no pude es que el navegador del CD de arranque con una distribución de Linux de a penas 2 o 3 años atrás ahora resulta que era muy viejo para la nueva interfaz de outlook. Esto me molesto bastante. Pero al llegar aquí pensé que seria mejor dejarlo así, si la persona, ese inconcebible ser, que supuestamente me había hackeado decidia volver a revisar mi correo, podría recuperarlo a través del sistema de recuperación de contraseña de google y esa cuenta de hotmail, de la que supuestamente tenía la contraseña. Es decir, seria una evidencia más de que me había hackeado  y  instalado algún programa para saber mis contraseñas como un keyloger. Este desdeñaría la alarma que me causaría no poder acceder a la cuenta al permitirme recuperar la misma por el mismo mecanismo. Efectivamente eso es precisamente lo que habría pasado.

En lo personal no me alarmaba mucho la posibilidad de perder mis cuentas de correo al permirle al hacker conservar la de hotmail. Preferiría mil veces perder una cuenta de google, de hotmail o lo que fuese, a la ficción de que esa cuenta es mía.

Hoy al finalmente comprobar que se había cambiado la contraseña de la cuenta de google, luego de efectivativamente quedar bastante afectado al constatar eso, me despedí de mi cuenta de hotmail y configure  la contraseña de la cuenta de google con el sistema de doble verificación. Me produce cierta tranquilidad saber que ahora si alguien intenta acceder a esta cuenta me llegara un mensaje de celular advirtiendomelo en el caso de que este supiese mi contraseña, pero no estoy nada satisfecho, ni me siento nada seguro. En google no existe ningún sistema de logs efectivo que me diga que pasa en la cuenta de correo. Alguien con la contraseña puede llegar, borrar correos y quitarlos de la papelera y no dejaría ni rastro de su actividad. En realidad los correos que se borran por seguridad deberían permaner al menos 15 días en la papelera sin la posibilidad de que nadie los termine de borrar por completo.

Pero en primer ¿cómo puede alguien llegar a hackear mi computadora personal? No me refiero a que alguien simplemente averigue la contraseña del correo electrónico sino a que efectivamente tome el control de la computadora. Allí no hay puertos abiertos en los que pueda explotar alguna vulnerabilidad del sistema. Tampoco soy una persona vulnerable a los ataques de ingeniería social. Eso de que alguien me envíe un troyano adjunto y yo imprudente lo ejecute simplemente no es posible. No me meto en páginas raras y cuando finalmente sucumbo a la tentación de ver ciertos videos o meterme en ciertas páginas, lo hago desde una máquina virtual. Siempre estoy pendiente de las ultimas actualizaciones. Es decir, no soy un tío fácil para cualquier hacker. Eso no quiere decir que sea imposible hackearme, pero para hacerlo hay que tener un nivel bastante alto. Tampoco tengo porque ser un objetivo específico de un hacker, puedo ser simplemente una víctima más de un ataque masivo, por eso podría ser también muy difícil hablar de un móvil o intenciones, porque no se trata simplemente de un ataque a uno en particular. 

Practicamente casi cualquier persona podría ser víctima de un hacker, así que si alguien cree que soy un bicho raro por estar pasando por esto, simplemente no sabe ni dónde esta parado.
 
Pero, ¿cómo podría alguien hackearme?. En primer lugar gracias a los archivos que descargo  o veo por Internet. Estos archivos podrían parecer tan inofensivos como un pdf o un video flash.  ¡Y sí, Linux también estaría entre los vulnerables!. Ahora, como digo, en este sentido tomo precauciones y los videos que veo, como dije suelen ser desde máquinas virtuales. Con los archivos pdf, si soy más confiado y es que la fallas en esta clase de archivos, las tomaría más enserio en los lectores pdf de windows mucho más sofisticados y complejos que los que supongo a los lectores nativos de Linux GNU (no tomo en cuenta a los privativos), que supongo obviaran las partes maliciosas del código dedicadas precisamente a las funciones avanzadas que estos no implementan, pero esto es solo suposición, al menos no he leído de tales vulnerabilidades y es porque serían muy poco conocidas, desconocidas o inexistentes. Además, los archivos pdf que leo suelo descargarlos de páginas, por lo general, bastante serias.
 
En cuanto a los videos, dije usar máquinas virtuales, estas tienen la virtud de que ejecutan dentro de un sistema operativo virtual,  al mismo tiempo que el sistema operativo real, el video o cualquier otro programa aislandolo del resto del sistema real. Sin embargo en el caso de algunos sistemas de máquina virtual el aislamiento no es total. Este es el caso de VirtualBox, que es el que uso, de manera que si existen vulnerabilidades de kernel (el núcleo del sistema operativo) en el sistema virtual, existe la posibilidad de que parte de este se ejecute dentro del sistema real. Sin embargo este tipo de vulnerabilidades y de explotación del sistema también son muy raras o desconocidas.

Lo más obvio seria pues que me hubiese infectado viendo algunos de esos videos para adultos de la red, pero dada las precauciones que tomo lo veo improbable. Si me infecte así ¡cuántos no lo estarán también!. Pero hasta ahora google no clasifica esa página de adultos entre las que supuestamente contiene código malicioso.  

La otra posibilidad es un ataque de hombre en el medio. Un ataque como este se podría hacer, por ejemplo, atacando a los servidores DNS del ISP que uso, específicamente CANTV. Uno quisiera creer que en ese ISP, dada su importancia y la paranoia del gobierno, hay gente con la suficiente pericia y capacidad para prever y prevenir ataques como ese, pero francamente cuesta creer tanto. De hecho gente con la que he hablado, con más experiencia y que maneja más información es todavía más escéptica. Con un ataque como ese se podría crear una replica del servidor de la página de mozilla, para al descargar firefox, que es el navegador que uso, traerme en su lugar un navegador hackeado. Para previnir esa clase de cosas existen los certificados de seguridad, este nos garantiza que al conectarnos a una página el dueño de esa página es precisamente quien dice ser. La validación de un certificado de seguridad es completamente transparente para el usuario, este para validar la pagina solo tiene que comenzar la dirección de la misma con https en lugar de http, por ejemplo: https://www.mozilla.org/es-ES/firefox/new/, además los certificados de seguridad nos permiten que la transmisión de la información por Internet viaje encriptada.  Desgraciadamente no todas las páginas web lo usan. Por fortuna firefox si, pero por desgracia también se han conseguido vulnerabilidades en el protocolo para certificar las páginas. Unas de las cosas que a mi me molesta especialemente en la página de firefox, es que no puedo descargar el código del navegador utilizando wget vía consola con una transmisión encriptada (esto es para los entendidos). Si lo hago como normalmente se haría a través de la interfaz gráfica no tengo ninguna garantía de que esa información este viajando encriptada. Además de que firefox tampoco provee de alguna forma de verifcar la integridad del código como los hash md5 o firmas digitales. Es una verdadera mierda, pero la gente lo sigue descargando ..... y es normal. De hecho no sé de ningún navegador en donde se tomen esas precauciones.  Pero una vez conseguí un link ftp para descargar a firefox, cuesta conseguirlos aunque se consiguen, allí había estaba además el archivo del hash md5 y al chequear.... ¡el hash no coincidio!!!, me queje en un foro pero no hubo ninguna respuesta satisfactoria a lo que decía. Esto a la mayoría de la gente no le dira nada pero es algo gravisimo. Una opción es no actualizar el bendito firefox, pero en este caso uno se arriesga a problemas de seguridad o a que la interfaz web del correo deje de ser compatible con el navegador. Odio las actualizaciones.

¿Pero por qué debería haber un ataque de hombre en el medio, por qué el hacker no podría ser el propio ISP? No es una pregunta absurda, pero al menos en cuanto a esto el objetivo no creo que pueda ser jugar Doom. En China pasan esas cosas, pero es por cuestiones de censura y es mentira que esta exista por Internet en mi país. Eso si, gente rochelera y saboteadora hay en todas partes.

Finalmente la ultima posibilidad que he barajeado es que los mirrors de la distribución de Linux que hay en mi país formen parte de alguna Botnet. De hecho he tenido varias veces problemas con los paquetes de Linux cuando uso las mirrors de mi país, unas veces no los ha querido autentificar, otras veces no se consiguen paquetes que si se consiguen en otros mirrors y otras cosas que en este momento no vendrían a cuento. Lo que hacía era que utilizaba desde la instalación los mirrors de otro país, pero esta vez decidí nuevamente ser patriota, para llevarme nuevamente otro fiasco que aunque no puede achacarselo del todo a la mirror patriota, resulta una coincidencia muy desagradable.

Este desgraciado incidente me ha hecho dudar una vez más del sentido que tiene escribir o participar en Internet, el sentido de mi anonimato, de utilizar estos maravillosos servicios gratuitos como el correo o los blogs ...  me he quedado muy corto, pero conozco muchos más: google docs, facebook, dropbox,... solo que a esos les he temido desde hace tiempo por los problemas de privacidad y de control mundial que plantean. De facebook estoy muy decepcionado, me parece una red más bien antisocial, suelo decepcionarme de la gente cuando veo lo que escribe en el facebook. Antes me parecia que el anonimato en Internet era una de sus grandes cosas, ahora no entiendo que caso tiene, haría más difícil, por ejemplo, que pudiera recuperar esta cuenta de google en caso de perderla. Si bien no pienso publicar mi foto en el perfil tal vez si publique una foto de mi mano para ver si esta vez mi destino pasa de las manos de los hackers a los quirománticos en donde probablemante este más seguro. Desde luego que tendré que tomar también más precauciones en cuanto al uso del Internet, tendrán que ser exageradas. He querido leer el contenido de los archivos WAD que dejaron pero hasta ahora no he conseguido una para hacerlo en Linux, no creo que consiga nada, de haber querido dejar un mensaje me lo habrían dicho claro y raspao, por supuesto que tampoco tengo cómo contratar a expertos en seguridad haber si lográn dar con el hacker, creo que perdería más pagándoles que lo que he perdido en privacidad.  La verdad es que estoy cansado, harto y asqueado...

La razón por la que no tenemos un Internet más seguro es que a nadie le interesa o  muy poca gente se interesa. En especial son los mismos gobiernos los que más han puesto más trabas a eso. Es sabido que en USA ciertos tipos de criptografía están prohibidos e incluso los mismos politicos han propiciado que se instalen backdoors en programas y servidores.

Todo esto me ha dejado bastante enfermo y dejado de hacer cosas que tenían prioridad por escribir esta entrada a modo de desahogo. Lamentable.