Hace unos días, nuestros queridos Iker Jiménez, y Carmen Porter, en Cuarto Milenio, sobresaltaron a los espectadores con una impactante exhibición de Ciber espionaje en directo ejecutado a cargo de Carlos Mesa un “supuesto experto en seguridad informática”, conjuntamente con el subdirector de Interviú, mientras hablaban sobre el tema de Echelon y la seguridad informática, y cuál es la verdadera vulnerabilidad de nuestra privacidad en la Red.
Como era de esperar, el programa Cuarto Milenio, ha levantado todo tipo de controversias, rumores y escepticismo al respecto de la propia exhibición, además de una potente avalancha de gente aficionada –imitadores- del arte del Hacking Script Kiddies en busca de localizar en la red del Misterioso programa de Sniffer que uso Carlos Mesa.
Sin embargo, hay algunas cosas que no quedaron tan claras, ni en la realidad son tan fáciles como se nos ha querido demostrar. Los espectadores profanos no tienen ni idea de lo que estaba haciendo Carlos Mesa. La impresión del publico fue equivalente a la que podría llevarse un simple usuario inentendido al que le se le muestra el impresionante truco, con el que fácilmente se podrían clonar tarjetas de crédito, o averiguar los códigos secretos de un teléfono móvil para copiar el SIM. Es el mismo efecto o impresión que se lleva cualquier usuario no experto, cuando se le muestra como crackear un programa informático; realmente no entiende nada, ni como, ni qué, pero cree en lo que ha visto sin tener más información.
Esto ocurre con demasiada frecuencia en las exhibiciones que se hacen en la películas, donde un supuesto pirata informático es capaz de saltarse los códigos de la NSA, la CIA, el FBI, la DEA, el DIA, el SSA, el Pentagono, y cualquier agencia, tecleando instrucción mientras devora una chocolatina con la otra mano… na!, un juego de niños.
Sin embargo la realidad es otra. Iker Jiménez tenía un portátil, que aparentemente estaba conectado por cable a una red LAN, que nadie sabe donde desembocaba su tráfico, ni a que servidor estaba conectado, pese a que el aseguro que estaba conectado en directo a la red de Internet. Vallamos por partes:
En estos casos, tratándose de unos estudios de televisión, lo portátiles de cualquier presentador, o del equipo de producción, suelen tener acceso LAN a un red interna, que posee unos servidores centrales a los que se da de alta con un Login y un Passwd que permite al usuario llegar hasta sus carpetas almacenadas en el Servidor. Estos servidores son de dos tipos; un servidor de conexión compartida a internet ICS (En Windows 2003 Server) o un Servidor Proxy en Linux. En ocasiones son varios servidores, ya que hay un servidor Web, un servidor de correo POP o IMAP, un servidor de ficheros Samba, un servidor proxy, y un servidor cortafuegos. Este último es quizá el que más nos interesa comentar para este caso.
Como yo no trabajo en el equipo de Cuatro Com, no sé qué configuración de servidores tienen dispuesta, ni que sistema operativo usan, (lo apropiado seria FreeBSD o Debían, y en ningún caso Windows 2003 Server) pero cabe pensar que el nivel de seguridad debe ser como mínimo alto, pudiendo haber incluso una DMZ para proteger todo el sistema informático de Cuatro Com.
Carlos mesa estaba con el otro portátil, también conectado con cable a la red LAN, donde también estaba en ese preciso instante Iker, y Carlos nos ha mostrado como capturaba todo el tráfico (por supuesto, el que le interesaba) con un Sniffer, que erróneamente ha definido como "programa para coger datos de un equipo ajeno “a la vez que afirmaba que "hacerlo en Internet es igual de fácil".
Bien, pues ocurre lo siguiente. En las grandes empresas, sí, sí, claro es cierto que un trabajador desleal interno, puede tener instalado en su portátil personal un programa como el que uso Carlos Mesa –el nombre del Sniffer era Colasoft Capsa 6.0- para espiar de forma clandestina a cualquier trabajador pero siempre que el atacante este dentro de una red LAN, nunca fuera de la LAN, porque el cortafuegos de los servidores de esa red LAN podrían muy “bloquear el acceso exterior” pero nunca el interior porque el ataque se hace desde un nivel de confianza, no desde un nivel de seguridad. Y se dé que estoy hablando, porque he sido Vigilante de Seguridad Privada 17 años, y tengo conocimientos de seguridad informática, técnico informático, y me manejo con Linux y Windows.
Cualquiera que conozca un poco Windows sabrá sobre la poca seguridad que tiene, y que es necesario instalarle cortafuegos, y antivirus, o en su caso, un programa que disponga de ambas capacidades, acaso de Panda Enterprise secure para 2003 server, mientras que en Linux con el Fiera Starter o con Bastille es más que suficiente, si el nivel no es muy alto.
Panda advierte de que cualquier clase de trafico sospechoso que intente cruzar la barrera del cortafuegos, es decir, los puertos, y advierte con un panel emergente, así que Carlos Mesa habría sido descubierto, quizá su Sniffer bajo la categoría de Troyano, o escaneado de puertos. Y no sería nada fácil hacerlo desde fuera como él dice…
Si en la red LAN nadie vigila, no hay un Root, o un Admin, (Un administrador de la red) pues el nivel interno de una red LAN es cero, y por consiguiente nadie podría sospechar que existe un espionaje interno, porque la seguridad siempre se piensa para blindar y boquear las amenazas externas. Ese es el caso que presento Carlos mesa, que ataco la red como si fuera un trabajador que estaba dado de alta en un grupo de trabajo registrado en un servidor, para tener acceso a carpetas, internet, correo, y seguridad.
Pero Carlos Mesa no le dijo al público que estaba capturando el tráfico “Interno desde dentro”, ya que desde fuera es relativamente bastante difícil que lo lograra. Debería de ser un Hacker muy bueno, y haber espiado los servidores de Cuatro Com durante meses, hasta encontrar una brecha por la que poder saltarse los dos cortafuegos, el interno, y el extremo. Si el capturo con tanta facilidad el trafico, es porque estaba detrás del cortafuego, no delate. Delante le habría sido imposible, sus peticiones habrían sido bloqueadas por el Firewall.
Si lo que asegura Carlos Mesa fuera tan sencillo, cualquiera podría espiar servidores a destajo, y en dos días, internet seria una ruina. Para eso están los cortafuegos, que paran y detienen todos los intentos de intrusión, y analizan todos los paquetes, en Linux a través de Iptables, y en Windows con cualquier cortafuego que el Administrador le haya montado, bien sea por hardware, o bien por software. Pero en cualquier caso, el no habría podido capturar con tanta facilidad el trafico que mostro.
Lo que ocurre es que han confundido el hecho de capturar una petición DNS Domain Name Service, Servicio de Nombe de Domino, con la captura de los datos que se estaban introduciendo en la web con https. Acto seguido, Iker ha preguntado "Y si fuese la web de un Banco, ¿me lo podrías ver todo?" y el "experto" ha dicho que sí, que por supuesto. Pero no ha hecho ninguna demostración, y la razón es que desde fuera no podría... ¡válgame dios!, si eso ase pudiera hacer, a dios a la privacidad informática. Y los Bancos no nos ofrecerían el servicio de la Banca Online.
Pero aun hay más. De todo lo que yo comento, que muy pocos podrán entender con absoluta y total claridad, salvo los que posean alguna experiencia importante en informática, el subdirector de Interviú comento que él nunca diría a través de Internet algo que no quisiera que se supiese. Obviamente nadie hablo de encriptación con par de llaves. Iker acabo el programa diciendo "podríamos hacer muchas más cosas, pero generaríamos demasiada inquietud".
La captura de paquetes con un Sniffer (Un husmeador de rastros) no es tan fácil si Carlos mesa estuviera en su despacho, sin conocer nada de nada de la red que pretende atacar. Eso ya debería de saberlo, puesto que su trabajo consiste en prevenir ataques, y descubrir huevos de pascua, pasarelas ilegales, o encontrar Hackers.
Ni tan siquiera para mi, sería fácil intentar un ataque contra la red Cuatro Com, ya que probablemente estará administrada por un experto, que tendrá configurado el equipo para que cualquier intento de intrusión sea logeado (Registrado). Si yo tomo el NetCat, o uso el Snort, y hago un diagnostico de la red, probablemente vería que sus principales puertos FTP, HTTP, SSH, SMB, están Firewalled, (Con cortafuegos), y si lograra traspasar su primer cortafuegos, probablemente dejaría log en alguna parte.
Los ataques de los Hacker nunca son tan directos o tan obvios. Normalmente, ellos son más astutos, y se valen de otro tipo de tretas, pero nunca harían algo como ir con un Portátil, a la puerta de una comisaria, para intentar entrar en los ordenadores de una comisaria, y del mismo modo, tampoco de Cuatro Com. Ellos harían un enumerado de red, y de todos los PC y servers que existan. Quizá si les interesase mucho penetrar en Cuatro Com podrían espiar a Iker con la WIFI, cuando está en algún Punto de Acceso, descriptando sus claves WEP.
Y por último, la cuestión de que exista o Echelon no tiene al final demasiada trascendencia, precisamente por que poco o nada puede hacer un usuario frente a la poderosa maquinaria de espionaje de Echelon. Los Ingleses y americanos controlan los WIRESEA, los cables marinos, por donde circula parte de las comunicaciones de Internet entre Europa y estados Unidos, pero es que ellos controlan Google, Yahoo, Alltheweb, y todos los principales buscadores, y cuando alguien mete una frase como Bomba, saben que IP lo ha hecho, pero no quien es el dueño de la IP, o su dirección exacta.
Mirad, si uno de vosotros toma su propia dirección IP, y la inserta en la página web
www.whatsismyIP.com vera que a través de google se hace una búsqueda, pero… que el punto desde donde sale la IP, siempre estará desplazado entre 500 y 1000 metros, debido al satélite, que controlan los americanos, y que tienen los cálculos desviados, para que los enemigos no usan esos cálculos, para lanzar artillería contra objetivos con total precisión.