¿Qué tan fácil es ser hackeado?

El día de hoy desperté con esta notificación:

Había un intento de sesión desde Ucrania y al haber dicho que no había sido yo me pedían cambiar mi contraseña. Después supe que si era real, pero mi cuenta de Instagram es compartida con mi amigo Lalo3, y él ayer estaba haciendo pruebas con una VPN, así que había detectado la sesión desde allí.

En resumen, nada de que preocuparse. ¿O si?

¿Qué tan real o riesgoso es que te hackeé alguien de forma particular?, es decir, a ti como un objetivo.

Si yo tuviese que elegir entre hackear una empresa muy grande y una pequeña; escogería la grande. Hay muchas cosas que aumentan la probabilidad de éxito, como el número de vectores, lo heterogéneo que puede ser, el menor cumplimiento de estándares, el aumento en la complejidad de administración de la infraestructura (este es medio relativo, también puede haber infraestructuras muy chicas, pobremente administradas).

Siguiendo con esa lógica, hackear a una persona puede ser muy complicado. Hum.. si, relativamente.. podría ser.

La primera vez que me hackearon fue porque dejé mi correo abierto en la escuela. Una cosa técnicamente sin importancia, si lo ponemos en perspectiva; aunque gracias a eso es que me interese en la seguridad informática. Y henos aquí.

Pero después de ese hackeo viene lo interesante, yo tenía que devolver la visita, y use un brute forcing (que en ese entonces funcionaban) para acceder a las cuentas de correo de los amigos que me habían hackeado y devolverles el favor.

Hoy en día ese brute forcing sería imposible, a unas cuentas peticiones ya habrían bloqueado tanto la IP como la cuenta; y probablemente el servicio que fuese, estaría solicitando una confirmación por parte del usuario.

Pasando eso, la próxima vez que intenté hackear a alguien directamente fue cuando estaba en cuarto de superior, estaba a punto de quedar fuera de reglamento y se me ocurrió cambiarme las calificaciones. Para eso comprometería las credenciales de un maestro y a partir de allí modificaría mi kardex.

El elegido era un maestro que tenía un nombre súper bonito, Carlos Augusto, aunque todos le decíamos VIvanco. Me senté fuera del área de sistemas y desde allí hice un MITM para robar las contraseñas de Vivanco. Todo fue mediante un ARP poisoning y obtuve sus credenciales. Después, como no entendía bien como funcionaba el SIGUE, que era la aplicación de control escolar, tome una petición, me busqué, modifique las calificaciones y la mandé.

No sé que pasó, pero algo en la base de datos se rompió y tuvieron que reindexar la base de datos. No pude cambiarme las calificaciones, pero al menos el punto de comprometer a Vivanco lo había cumplido.

Hoy en día ese tipo de ataque aun sería viable, y probablemente con la experiencia que tengo actualmente; podría haber determinado que no era posible modificar las calificaciones sólo haciendo un replay a las peticiones, y habría intentado algo diferente.

Algo interesante de mencionar, aunque no imposible de evadir, es que en ese entonces el SIGUE funcionaba por HTTP.

Después de eso no tuve un incidente hasta mucho tiempo después. Durante algún tiempo viví en un pueblito, y mientras esperaba mi café vi que el celular estaba conectado a todas las redes que tenía almacenadas. De inmediato pensé en una Pineapple, cuando volteé a ver a todos lados vi en la esquina a una persona que con una mochila estaba intentando cubrir un AP Cisco de esos muy grandes que se hicieron tan comunes. Cuando me acerque para ver si veía algo, me di cuenta que era un amigo; ksaver que tenía mucho tiempo de no saber de él.

Después me explicó como tenía comprometido todo el pueblo, y como almacenada información de todo lo que iba capturando. Realmente no es que tuviese un target en específico, simplemente iba parseando información y tomando lo que le parecía interesante. Obvio algunas credenciales mías estaban por allí, pero no había sido algo específico contra mi.

(En este momento se deben de estar preguntando el porque digo todo esto… es para ejemplificar lo raro que puede ser hackeado específicamente como un ataque dirigido).

La siguiente ocasión que tuve un «incidente» fue muy tonto. Pero, me recordó que aun existen los lammers.

En Mexicali había un grupo de OWASP y las reuniones las organizábamos dependiendo de que había libre. En esa ocasión las organizamos en una universidad que se llama CETYS que tiene un campus también en Tijuana.

Después de eso, en varias ocasiones recibí phishings hacía IPs dinámicas de Telmex, hostings gratuitos; y el día de la reunión mi computadora se estaba siendo escaneada; vi quién era, usaba Kali, dejo el usuario por defecto, me loggué como root y le dice un rm -rf ../../../../

Pude ver quién era cuando apretaba como loco entender a su computadora y veía como todo lo que no estaba en memoria se estaba perdiendo.

La historia, que después me la contó un amigo es que en Tijuana hay uno de esos grupos locales de DEFCON, y cuando publicamos lo del OWASP Chapter decían que era muy raro que en Mexicali alguien estuviese haciendo algo de seguridad, porque no es algo común. Así que uno de los del grupo tenía que venir a algo al campus de Mexicali y se dio a la tarea de «hackearme»

Ñeeee..

Recuerdo que en el trabajo a veces me iba a sentar a una mesa dentro del Red Team y de pronto decía alguien «hey Scarlett… cambiale el pass a tu RDP, andaba probando X cosa y entré por error» o cosas así, pero es porque todos estábamos en el mismo segmento.

Recuerdo que un día hackee la ciudad completa para poder ganar un concurso en donde regalan un boleto para ir a ver a Belinda. Les pedí a muchos amigos acceso a sus redes, y desde allí hacía una captura en raw en donde intentaba evitar que la gente enviase el correo para el concurso y por otra parte que recibiese la respuesta. Al final fue un fraude, el correo a donde había que mandar el concurso jamás fue abierto, pero el boleto si lo entregaron en la radio.

Pero en una noche capturé unos 10 teras de información de todo Mexicali, que en realidad no me iba a poner a analizar porque era demasiado. Pero después de eso les mostré a varios como funcionaba una Pineapple y lo sencillo que resulta interceptar información de alguien con sólo que este cerca de ti.

Oh si, ahora que recuerdo hackee una universidad para cambiar las calificaciones de una amiga, y para eso primero comprometí a un amigo que sabía era amigo del administrador de control escolar en Ensenada; y remotamente me conecté desde Ensenada a Mexicali para el ataque. Ese estuvo bueno, aunque no fue complicado, la contraseña estaba muy fácil.

Entonces, ¿qué tan real es que puedan hackearte o no?… yo creo que depende del porque quieren hackearte. Conozco el equipamiento que usa inteligencia en México y podrían hackearte con sólo saber tu número telefónico, pero estamos hablando que cada licencia cuesta unos $17k USD… ¿realmente vales eso para alguien?.

También alguna vez un amigo me pidió ayudarle a alguien con quién quería quedar bien. Pero aunque no lo parezca, tengo bastante ética. Así que sólo para evitar que me insistiese, le dije que si, que cobraba $2 millones MXN por hackear a alguien. No aceptó, pero de haber pagado, probablemente lo habría tenido que hacer.

¿Es una exageración?.. depende, hackear a alguien requiere de explotar muchas vulnerabilidades, y yo he vendido una vulnerabilidad en hasta $37k USD… así que pedir $2 millones MXN por hackear a alguien no me es tan descabellado. Aunque obvio no lo habría hecho.

Por cierto, al final como no fue un incidente lo de Instagram, pues no cambie la contraseña. Así que nos pueden seguir en @telecortos en Instagram

Subimos fragmentos de películas que nos gustan, y no tenemos ni un seguidor 😛 … pero esperamos tener muchos seguidores que gusten de ver muchas series y películas como nosotros.

0 comentarios en “¿Qué tan fácil es ser hackeado?Añade los tuyos →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *