sábado, mayo 21, 2011

El troyano del ePad que me comí yo

Que hay rumores falsos que se propagan por Internet como la pólvora es sabido por todos. Aún se está buscando el vídeo de Ricky Martin y el perro, mientras que la gente no toma los Actimel porque el cuerpo se hace adicto a ellos. Así es el tema de la reputación y la marca, como sufrió nuestro amigo César Sicre desde su "fake affair" con Paulina Rubio.

Y como dijo Dan Kaminsky tras haber sido petado públicamente: “Cuando estás en el campo de batalla te llueven las balas…” y algunas hasta te dan. Y éste es el caso que he sufrido yo en primera persona con respecto a una Prueba de Concepto con un rumor profesionalmente creado sobre que algunos ePads vendidos por Ebay traían troyanos que robaban la información y la enviaban a China.

Lógicamente, con esta cita a Dan Kaminsky no es que yo me considere ni mucho menos que me encuentro en una situación de ser objetivo de ataques tanto como él, pero sí que lo soy para los sufridos alumnos del Master de Seguridad de la UEM, en el que les hago sudar para conseguir aprobar con exámenes cada vez más enrevesados.

El caso es que tres de ellos, dirigidos malignamete por un compañero de profesorado en el master, orquestaron una maniobra para hacer creer a la gente una mentira que se propagara por Internet como un rumor. En este caso, el tema elegido fue que unos dispositivos, que existen y se llaman ePad, que funcionan con Android, que se vendían por Ebay – que es cierto que se venden por Ebay – venían troyanizados para robar datos.

Con este objetivo, crearon una identidad falsa - de la que crearon hasta perfil en Linkedin -, una cuenta de correo electrónico y un blog para publicar la historia. Para hacerlo más creíble, el blog se fue escribiendo durante varias entradas, en las que el protagonista del engaño contaba que le gustaban los iPad pero que no tenía pasta para comprarse uno, que había visto un ePad por Ebay muy barato y que se lo había comprado. Después, en siguientes posts, relataba como la WiFi le iba "rara" y que, tras analizar las conexiones, descubrió que enviaba datos a un servidor Chino.

En dicho servidor se almacenaban datos de los ePads que se habían vendido. Por supuesto, la página donde se guardaban los datos tenía SQL Injection y cualquiera podría entrar a comprobar esos datos – que eran más falsos que Judas -.

Tras publicar eso, decidieron spammear en blogs de renombre con comentarios para que la gente se fuera enterando de la noticia y conseguir efecto amplificación con nuevas publicaciones en blogs, periódicos, etc… y algo así consiguieron.

Los primeros que yo recuerdo en publicar esta historia fueron mis amigos de Dragonjar, que tras hacer todas las pruebas escribieron un buen reportaje al respecto. He de decir, y así lo comenté con los alumnos, que meter esta noticia no era tan descabellado y complicado, ya que: El ePad existe, el ePad se vende por Internet y troyanos para Android tienes de todos los colores, tamaños y sabores - hasta de vainilla -.

Sin embargo, estos pájaros que tengo por alumnos, y la malvada mente de su tutor se pusieron un objetivo, metérmela a mí. Y se pusieron manos a la obra. Yo ya había leído la noticia en Dragonjar, pero … como era de Android y un ataque por Ebay, pues no me apeteció escribir de ello. No he visto un ePad más que en fotos.

Como soy bastante malo contestando e-mails, con la cuenta falsa de Linkedin me agregaron al linkedin, y yo, que agrego a todo el mundo, le acepté sin más dilación. Después me pusieron un correo electrónico para pedirme que les ayudara a difundir la noticia, pero no contesté por falta de tiempo. Una semana más tarde me insistieron, y ya les respondí que vería que podía hacer para ayudarle a que la gente conociera su historia. Como ya había leído en Dragonjar, - sé que ellos prueban las cosas -, y no quería ser descortés con alguien que me pide algo, les dije que haría algo, pero… no encontré ni la forma ni el momento.

Su director de proyecto – me lo puedo imaginar nervioso y con fruición malvada en su cuartel general – les dijo que tenían que conseguir que yo cayera en el rumor, lo que deja claro que esto ya era un APT para mí y no un rumor cualquiera, con lo que me volvieron a enviar otro correo insistiéndome sobre el tema.

Con este tercer correo ya les dije que hablaría para publicarlo en Seguridad Apple y se lo pasé a un compañero que se encargó de redactar el post. Así que salió una noticia contando la historia de esta persona, por lo que al final me cazaron.

El día que se publicó la noticia en Seguridad Apple el servidor chino estaba caído y no se pudo probar nada. Eso obligó a ser prudente con la redaccion, por lo que no se afirmaba que los ePad vinieran troyanizados, sino que podría ser solo este caso, pero en todo momento se da por cierto el caso del protagonista.

La verdad es que me reí viendo la presentación ayer, mientras su tutor sonreía con cara de ca•$$”•$5n y Alejandro Ramos hacía de Nelson - señalándome decía “ha,ha” [A ver si acabas el libro en vez cachondearte de mí, ca32423Asdf] -. Así que aquí queda esto, como penitencia.

La verdad es que el nivel de los proyectos que se han presentado este año en el Master de Seguridad de la UEM ha sido muy bueno y he de felicitar a todos los que están dejándose su tiempo los viernes y sábados de todo un año por hacerlo. Se lo han currado, por lo que la nota mínima que se ha puesto ha sido de …

Por la seguridad personal de estos tres pájaros, para evitar que los de ePad les denuncien por difamación o les manden alguna visita inesperada, voy a mantenerlos en el anonimato. Además, utilizaron una foto de Internet de un tipo para suplantar la identidad, que espero que LES DENUNCIE, y se le caiga el pelo al director del proyecto }:) Muy buen trabajo chavales.

Saludos Malignos!

17 comentarios:

perox_ dijo...

A veces pasa. Owned! :-)

Marcelo R dijo...

Hay que reconocer que estuvo bien orquestada la broma jeje y en la volada también cayeron otros sitios de seguridad, aunque me sorprende igual que varios diarios y otros medios no hayan picado en esta.

Ahora, los alumnos pasaron el curso (?)


Salu2

DragoN dijo...

Jejeje la supieron colar, realmente la noticia fué muy bien elaborada y bastante creíble, se supieron armar de una buena trama (bastante posible por cierto) y caímos bien a fondo en el afán de informar para evitar que otras personas resultaran victimas de este "robo de información".

Algunos comentarios (http://goo.gl/T9VCy) me hicieron dudar de la nota pero al no tener una copia física de el ePad no se pudo corroborar como se hubiera querido.

En todo caso me alegra que de alguna forma ayudara a graduarse de Master a estos personajes y que la difusión de la falsa noticia concientizara un poco a los poseedores de dispositivos con Android sobre la seguridad de su sistema.

Me gustaría tener copia de las diapositivas, para hacer una nota sobre la misma.

Blog nuevo dijo...

Muy bueno.

Emmanuel Valencia dijo...

Jajaja
Aún recuerdo cuando lei esa noticia...

Ahora recordamos que no te puedes relajar ni un segundo ni fiarte de todo lo que dicen los demás!

Saludos.

Unknown dijo...

Yo creo que una de estas de vez en cuando viene bien para que no demos por cierto todo lo que leemos por Internet y nos molestemos en verificar (en la medida de lo posible claro está) la autenticidad de la noticia aunque está la publiquen medios muy respetados.

P.D: Los pobres han aprobado, se han corrido una buena juerga para celebrarlo, pero yo no se si podrán dormir tranquilos pensando en la venganza de Mr. Maligno :)

Anónimo dijo...

heeeeyyyy chema cruzaron la linea, eso no es chistoso, me parece que no es muy buena imagen para la universidad, que tal si nos ponemos a postear que uds hacen esas cosas y que no miden las consecuencias, quedarian como unos lammers simplemente que danan cosas y no hacen investigaciones controladas sino que se cag@n en la madre de cualquiera.... me gustaria que en el proximo defcon dijeran que le pusieron una multa ejemplar a chema y sus complices por danos... oeee ya no eres un nino... tienes un poder que es conocimiento, debes ser responsable o apartarse del area. un buuuuuuu por chemaaa y la UEA

Chema Alonso dijo...

@Anónimo, como bien pone en el texto, no fue idéa mía, yo fui víctima.

En segundo lugar, que un equipo con Android venga con un troyano vendido desde Ebay solo narra un caso más que posible, que ha sucedido varias veces.

Lo que demuestra sólo es que tendemos a creernos lo que se publica en Internet, como este comentario tuyo anónimo.

Saludos!

Alejandro Ramos dijo...

yo solo puedo añadir una cosa mientras te señalo con el dedo.

ha-ha

Ramón Sola dijo...

El mejor escribano echa un borrón. Se non è vero, è ben trovato. La venganza es un plato que se sirve frío. SELECT dicho FROM refranesytopicazos WHERE tema = "trolas"; Y bla, bla, bla... ;-)

Anónimo dijo...

Solo se me ocurre decir... ¡Zas! En toda la boca...

Cristhian dijo...

jajaja me acuerdo que lei la noticia, pero como no se nada de los Ipad y sus clones no la quise publicar en mi blog. espero q las mentes perversas detras de esto te paguen como mínimo una buena cena acompañado de un buen vino...

Yago Jesus dijo...

Impresionante tu fairplay, yo también metí la pata con el te keyloggers-y-samsung, cosas que pasan

Anónimo dijo...

Los chavales se han pasado con esta "broma" y creo que para un gilipollez han hecho un escándalo. Casi sin pensar han cometido varios delitos, total para un broma particular entre 4 personas.

Si el objetivo era demostrar que se podía colar la noticia, esto ya se ha demostrado varias veces de formas distintas pero todas iguales: la gente es crédula, no es novedad ¿Qué aporta? Sólo la broma entre vosotros... y varios delitos. Felicidades!!!

Ole dijo...

@Anonimo, @Anonimo(2), @Moc: De hecho fue BASTANTE profesional.

No me voy a quedar de brazos cruzados leyendo como gente que no tiene ni idea de por donde pasaron los protagonistas, se ponga a comentar sobre ellos como si lo que hicieron lo hubieran echo a mala baba.

Primero, en ningun caso fue a mala baba, lo que se pretendia es un estudio de ver que nivel de penetracion en la Internet puede llegar a tener una "supuesta verdad" bien montada.

Segundo, ellos tenian pensado llevar el bulo (meter informacion falsa en la red) durante un mes, pero los resultados fueron tan buenos que tuvieron que parar en tan solo 4 dias. Debido a su alcance NO SIGUIERON sino que PARARON.

@Anonimo1: Como te dice Chema, no metas a Chema en eso (no lo estoy defendiendo) porque el no es parte de la idea ni del estudio. El merito es de otros.

@Anonimo2: Esa "gilipollez" que tu llamas es un proyecto de final de master, un poquito de respeto al trabajo de los demas. Por otro lado ese "escandalo" aun no ha salido en portada de los periodicos, he visto "escandalos" mas escandalosos. "Casi sin pensar", tu si que has escrito ese comentario casi sin pensar, un proyecto de final de master lleva una propuesta desde un año anterior. Antes de realizar el trabajo se tuvo una planificacion y analisis, si a eso le llamas tu "sin pensar" perdonanos por ser seres inferiores a ti... oh wait! Y si, ya saben que han cometido dos delitos. Sin pensar ya lo habian hablado antes de empezar con el tutor... sin pensar... Por cierto, vete poniendo los enlaces de los multiples estudios empiricos llevados a cabo sobre un bulo, que no veo que los hayas enlazados mr. informacionveraz, que por cierto, por que este estudio es tan maligno y los anteriores (esos que comentas pero no enlazas) no los criticas? se hicieron pensando? no se saltaron leyes?. Otra cosita, no es ninguna "broma entre nosotros", es un proyecto de final de master colega.

@Moc: No se esperaban ese asalto de informacion y ayudas y en ningun caso se rien de la gente, sino que agradecen la ayuda brindada, es mas, se paro la mentira precisamente por ello

Anónimo dijo...

@Ole.

Entonces si lo pensaste, lo pensaste muy mal. Creo que no se miedieron bien las consecuencias que pude/pudo tener en repercusión a marca, mala imágen etc. En otro caso es que te da igual lo que pasara, y eso es aun peor.

Me gustaría que se hiciese algo así con tu empresa, desprestigiando y luego dijeran: oye, que fue una paraMaster, esto no fue una bromita, fue investigación, al

Respecto a estudios empíricos te voy a poner tres concretos, dos estudios "muy serios" que llevaro añales de investigación profunda y sofisticada.

El primero fue el de unos tíos (Chema sabe más de este tema) que se dedicaron a poner comentarios falsos desprestigiando sobre Microsoft, Windows Vista, creo. El objetivo era demostrar que la información no se contrasta y que se puede decir lo que se quiera en contra de Microsoft (esto tampoco había que demostrarlo creo).

El segundo fue todavía más serio que el anterior. En el programa de la sexta, "Sé lo que hicisteis" demostraron con una página hecha en word y pasada directamente a HTML de forma muy cutre como se puede meter una noticia a los periodistas del corazón y cómo no contrastan la información.

También leí en barrapunto sobre un artículo en modificado (no sé si a propósito o por error) en wikipedia (teniendo un Master seguro que eres capaz de encontrarlo solo, de hecho deberías haber investigado este tipo de cosas antes de ponerte a hacer algo así)
Se había cagado al modificar el artículo y los datos eran falsos. Hubo una noticia citando el artículo de wikipedia, lo que le confirió autoridad verdadera al artículo. Luego se volvió a modificar el artículo citando a los periodistas, dando credibilidad al artículo. Vamos un bucle en donde se partía de una falacia.

El de Microsoft no śe cuánto tiempo llevó hacerlo, pero el de SQLH, una tarde según dijeron en el programa.

Así que señor maestro, no, no aporta nada, y lo de SLQH tenía por lo menos gracia y no desprestigiaban a nadie. El de MS fue con permiso de MS (o lo financiaron ellos, Chema sabe más de esto)

En los 3 consiste lo mismo, colarsela a alguien, que no investiga, vamos como tú.

Ya ves, alguien no investigó suficiente antes de ponerse a hacer proyecto de Master, yo te hubiera suspendido.

Lo último que te contesto es lo de la portada de los periódicos. ¿Es necesario que diga alguna aclaración sobre esto? ¿De verdad? Teniendo un Master seguro que tú mismo te contestas.

loopback1984 dijo...

Al último Anónimo.
Muy interesante lo que publicas.
Sin embargo, creo que esto aporta, como todo estudio, variables no cubiertas por los anteriores.
Los que tú has descrito parecen poco sofisticados, por no decir cutres.

Aquí se está hablando de algo que, a coste cero, y con apariencia suficientemente buena como para colar a gente "especializada", consigue no sólo introducir información ficticia sino conseguir que surjan agentes ajenos confirmando la información falsa.

Hay que decir que el trabajo me pareció muy epatante y, si bien puede que no extremadamente novedoso, creo que es darle una vuelta de tuerca más incluyendo redes sociales, público especializado y a todo eso, aplicarle un análisis sistemático de los datos.

Eso sí, no estoy seguro de que estuviesen dispuestos a repetirlo.

PD: Supongo que toda esta indignación puede resumirse en "¡yo también caí!".

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares