domingo, julio 12, 2020

Cómo Chema Alonso le "hackeó" la agenda de contactos a Kevin Mitnick y Moxie no pudo venir a cenar con Wozniak

Hace ya tres años de esta historia. La tenía guardada para ese día en el que voy a tener menos trabajo y voy a disfrutar de mucho más tiempo libre. Ese día en el que me voy a sentar a escribir mis memorias y dejar plasmadas todas las aventuras y desventuras de mis días. Pero especialmente las anécdotas – o microhistorias que dicen mis amigos Fran Ramírez y Rafael Troncoso – en el mundo de la tecnología, el hacking y los hackers.

Figura 1: Cómo Chema Alonso le "hackeó" la agenda de contactos
a Kevin Mitnick y Moxie no pudo venir a cenar con Wozniak

Pero creo que ese día nunca llegará, porque no tengo ni la más mínima gana de dejar de hacer lo que me gusta, así que el número de proyectos y cosas que sigo haciendo no solo no decrece, sino que aumenta día a día. Qué le vamos a hacer. Hay que aceptarlo.

Y al final, mis memorias casi están escritas aquí en este blog. En artículos suelos. En párrafos hilados con cosas no dichas pero escritas, y también hay muchas cosas escritas, pero no dichas. Y secretos que encajan cuando pones la pieza adecuada del puzzle. Así que, ¿qué mejor forma de escribir esta anécdota en mis particulares memorias que publicarla en un post? Vamos a ello.

No hace falta que os diga que Kevin Mitnick y yo tenemos una relación de amistad muy cercana. Nos conocimos hace ya muchos años gracias a mi querida FOCA que él utilizaba en sus conferencias, y una de esas veces cuando pasó por Madrid nos conocimos y comenzamos a forjar una relación muy cercana.

Figura 2: Con Kevin Mitnick en 2011


En el año 2012 ya éramos muy buenos amigos, así que quedamos para que viera mi charla de Owning Bad Guys { & Mafia } using JavaScript Botnets en BlackHat USA 2012 y se lo pasó genial. Estuvo sentado en primera fila riéndose todo el rato con mis tonterías y mi mal acento inglés. Y luego nos fuimos de cena, a una de esas fiestas de Las Vegas y hablamos, como siempre, de nuestros proyectos, de hacks, de herramientas. De nuestras cosas. De cómo usar las demos en una charla. De cómo hacer algo nuevo. Nos pusimos de acuerdo en pasarnos trucos y herramientas. Así que, a lo largo de los años le hemos ido pasando trucos como el de Sappo o Dirty Business Card, además e la FOCA, que usa en sus charlas.

Pero hubo uno que le moló mucho cómo lo hice yo y me lo pidió también.  Se trataba de DirtyTooth y mi demo con el Speaker BlueTooth de año 2017. Se me había ocurrido ese hack en un momento raro. No sé por qué, pero estaba enfadado con algo. Y entonces me iban a llevar a algún sitio en un coche que no era el mío. Y entonces me quejé de la música y me dijeron:

- “Puedes conectar tu teléfono, te abro el BlueTooth”

Y entonces apareció en mi cabeza.

- “De ninguna manera. No conecto mi BlueTooth a nada extraño ni de broma”

El resto es historia, Apple en iOS no avisa del cambio de perfil BlueTooth de un dispositivo pareado, nosotros hacíamos pasar el altavoz de un perfil multimedia a un perfil de manos libre, y los contactos venían a nuestro altavoz uno tras otro. Y es curioso, porque un cabrero y mala música en un coche que no era mía me habían inspirado para un hack chulo que daría la vuelta al mundo y que obligaría a Apple a actualizar iOS para avisar en los perfiles BlueTooth que acceden a los contactos.

Figura 3: Ahora iOS pide confirmación para dejar a un
perfil BlueTooth acceder a los contactos

La presentación en escenario que hacía yo era curiosa. Sacaba el altavoz BlueTooth y le pedía a voluntarios que se conectaran para poner música. Luego hacía una votación con el público para mientras robarle todos los contactos de la agenda. Después explicaba la técnica de DirtyTooth y los voluntarios se iban poniendo muy nerviosos. Quedaba muy visual, y a Kevin Mitnick le apetecía tener esa demo entre su repertorio, así que me dijo que le hiciéramos un altavoz a él. Y comenzamos a preparárselo.


Figura 4: Presentación de DirtyTooth en 2017

No recuerdo si nos dio tiempo a terminar el suyo, o directamente le dejé el mío, pero el caso es que para la DefCON de ese año 2017, usamos a Felix Brezo y Yaiza Rubio de “porteadores”, y le llevaron a Kevin Mitnick el altavoz hasta Las Vegas. Allí se lo dieron, lo probaron… y no funcionaba. Porras. Le habíamos puesto una SIM que debía funcionar en USA, pero por lo que sea, no funcionaba. Así que después que lo probaran un rato, Felix y Yaiza nos lo trajeron de vuelta a España para que lo revisáramos.

Cuando llegó, se lo pasé a Pablo González y Álvaro Núñez-Romero de mi equipo de Ideas Locas para que lo diagnosticaran y me dijeran qué había pasado. Y la sorpresa fue que sí, había fallado la conectividad que lleva la SIM del altavoz con DirtyTooth para conectarse a los servidores en Internet donde dejábamos los datos capturados de los terminales iPhone. Pero la conexión BlueTooth y el hack de DirtyTooth sí que había funcionado, así que toda la agenda de contactos de Kevin Mitnick estaba en mi poder.

Como os podéis imaginar, la agenda de Kevin Mitnick es muy molona. Un sueño para que puedas conocer a todas tus estrellas del hacking. Pero no íbamos a hacer nada malo. Pero… sí que se me ocurrió una idea. Ya que en al agenda estaban Steve Wozniak y Moxie Marlinspike – además de Chema Alonso - , así que le pedí a Kevin Mitnick conocer a Steve Wozniak, que a la postre sería aquella cena de la que os hablé.

Figura 5: Chema (Alonso), Kim Dotcom, Dan Kaminsky y Jeff Moss en la agenda

Pero, no fue como yo la quise organizar. Y es que además de estar Kevin y Wozniak conmigo, también me llevé a mi boss, y quise invitar a Moxie Marlinspike. Con Moxie había tenido buena relación en DefCon, BlackHat, Ekoparty, ShmooCon y Hackon en Noruega, donde nos habíamos ido de vinos, cañas y cervezas. Habíamos dado charlas juntos y compartido muchos ratos en esos años de dar vueltas por el mundo CON tras CON, e incluso un día hice un truco que se me ocurrió para averiguar su verdadero nombre …. Pero os lo contaré en otra historia más adelante, que hay muchas microhistorias que aún no os he contado.

Figura 6: Con Moxie Marlinspike en 2009

El caso es que el teléfono de Moxie lo tenía, pero lo había perdido en alguno de los cambios de teléfono – nos conocimos Moxie y yo en el año 2008 -. Y me parecía que quién faltaba en esa cena era Moxie. Así que aproveché que lo había recuperado para contactar con él e invitarle a la cena. Y así hice. Le puse un mensaje por Signal y estuvimos hablando, pero no pudo venirse a la cena. Lástima.

Figura 7: Moxie & Woz en la agenda

Luego Kevin Mitnick y yo nos fuimos a la ToorCON, dimos la charla juntos con DirtyTooth, y ahí conocí a una persona que iba a entrar en el equipo de seguridad de Apple que acabaría encargándose de cerrar el bug de DirtyToothy luego seguí mi viaje..


Figura 8: Kevin & Chema en ToorCON hablando de DirtyTooth

Al final son momentos salpicados de una vida que voy coleccionando. Que voy uniendo. Que voy tejiendo uno a uno en el tapiz de mi existencia, porque cuando pasan de forma individual parece que no tienen tanta importancia, pero cuando los acabo por poner todos juntos en su lugar. Cuando conecto los puntos hacia atrás con todos ellos, la historia que se ve, la imagen del tapiz, se me antoja preciosa.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

2 comentarios:

RISTOJUSTO dijo...

Ooooohhhhhhh

xxykz dijo...

Excelente historia Chema!!!

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares