martes, 15 de abril de 2014

PRIVACIDAD: ESOS PEQUEÑOS DESCUIDOS...

De Popular Mechanics, Shodan y Otras Cosas.

Hace ya un par de semanas (¿meses?)... , divagando por una plaza comercial vi de reojo un ejemplar de la revista Popular Mechanics con el llamativo título de "Privacy is disappearing. How new tech tools can help you fight back". 




Desde días  atrás venia meditando sobre el escándalo que envolvió a la NSA debido a las revelación de Snowden  sobre el software de espionaje  PRISM, meditaba si, entre el descuido de nuestra parte sobre los datos que dejamos por todos lados, especialmente las redes sociales,  y el descuido y la toma "inocente" de estos por parte de empresas y aplicaciones - principalmente las de teléfonos celulares- nos queda algo de privacidad. 

Unos días antes de la revista, salía tranquilamente de un Café y en el trayecto de regreso a casa me percate que en la plaza donde estaba el café y por sus alrededores, se apreciaban varias cámaras de seguridad. Recordé de buenas a primeras a Shodan. En un inicio se dio a conocer por exponer cientos de dispositivos para el control de sistemas de procesos industriales y sistemas SCADA . Eventualmente después se empezaron a descubrir cada vez mas dispositivos, entre  ellos swtiches CISCO, routers, impresoras, WNMS y, por supuesto cámaras de seguridad



Al llegar a casa  recordé que manejaba también un operador para restringir las búsquedas de manera muy específica enviando como parámetros los valores de latitud, longitud y opcionalmente un radio de kilómetros a la redonda:



¿Cómo resistirme? Un par de minutos después ya estaba jugando con Shodan y, para mi sorpresa los resultados fueron bastantes positivos. En su momento y hasta la fecha no he, digamos, insistido ni indagado  más, y solo se me ocurrió probar con un modelo de cámara, bastante estándar. Encontrando 67 cámaras en un radio de 3 kilómetros. 


No probé todas entradas. Solo tome las primeras 10 y pude accesar a cuatro paneles de control sin nada más que un miserable login cuyas credenciales eran… si… admin/admin. Uno de ellos manejaba uno de los locales de la plaza por la que hacía unos minutos había pasado.




Uno de los panales de control de las cámaras estaba al parecer, configurado por una empresa de vigilancia y alarmas local, lo que bueno, es un poco chistoso- ya sé a quién no contratar.

 Shodan tiene funcionando desde el 2009. En un artículo escrito por su creador, John Matherly  ofrecía algunos puntos para mantener a los dispositivos fuera del radar de Shodan:

To cloak a computer from Shodan, systems should simply refrain from responding to either the first crawl or subsequent connection attempts by configuring their firewall to block unknown sources from connecting. I should note that this is not the same as trying to hide the computer from search engine crawling by configuring a robots.txt file to tell Google, Yahoo, Bing, etc. to leave you alone. That might be an instinctual first step for IT staff, but would only mask and delay the real problem.  The truth is that SCADA and industrial control systems should not have a public IP address. If the security of a service depends on that service remaining hidden (a.k.a. “security through obscurity,”), then that’s a problem.

Hoy, después de poco más de 4 años funcionando, uno pensaría que este buscador ya debería de haber activado las alarmas los suficiente como para ya no encontrar nada que valga la pena usándolo… …no es así. Aun en la actualidad Shodan sigue encontrando cientos, miles de dispositivos.  Pero, esto no parece ser nada raro. Google Hacking y el uso de operadores avanzados de Google para descubrir información comprometedora es más antiguo y aun hoy se puede acceder a información que… …bueno, técnicamente no debería. Haciendo un par de pruebas hace ya algunos meses adapte un par de resultados de dispositivos de Shodan para tratar de encontrarlos con Google. Si bien Google no busca  dispositivos en sí, no de la forma que Shodan lo hace pero, ¡Hey!, ¿alguna interfaz de acceso con html tienen que tener no?... -  lo que me recuerda que, neardydata también puede hacer sus gracias… -con una cantidad de éxitos aceptables , algunas veces mayores a Shodan  aunque por lo general menores. Que estos dispositivos sean encontrados por Shodan es un descuido y es ya de por si malo… Que algunos de los mismos tipos de dispositivos puedan ser alcanzados con Google… Bueno... es aún peor por que evidencia un descuidó básico en el archivo robots.txt. Y, aunque estos no son siempre la solución definitiva como Chema Alonso ya lo probó un par de veces en los artículos:  Buscando en robots.txt lo que está prohibido encontrar, Hacking driven by Robots.txt y Dorking as a ninja with Robots.txt, Google & Archive.org . Bien podría ser un buen avance crearlo adecuadamente.

El mes de noviembre del año pasado, aristeguinoticias.com público un artículo reportando que el Instituto Federal Electoral (IFE) había presentado una denuncia al sitio web www.buscardatos.com, como consecuencia el sitio dejo de mostrar los datos para México, pero, ¿Qué paso con los datos?... Ni idea.



 Igual la página sigue activa con la opción de buscar datos de ciudadanos de Chile, Argentina y Paraguay.  Al momento de escribir este artículo  la página aun retornaba  datos para los tres  países mencionados, aunque, no pude verificar la veracidad de los mismos.  



Con un poco de ingenio se puede incluso acceder a cientos de resultados sin siquiera tocar la página, aprovechándonos de la cache de Google, una propiedad que, muchos ignoran pero que, puede llegar a ser bastante reveladora para unos… un dolor de cabeza para otros.





Con el auge de las redes sociales ya perdimos casi cualquier atisbo de privacidad o anonimato. Dependiendo de nuestra configuración, que bueno, casi siempre es pobre, se puede sacar un perfil bastante decente de casi cualquier persona adicta o medianamente consumidora de estas. Como bien comentaría Antonio Toriz, ni siquiera se necesita un app especial para rastrear algunas personas, refiriéndose seguramente a foursquare.


Igual podrían no necesariamente hacerlo y dejar a través de los metadatos en las imágenes subidas a Twitter  toda una traza que puede ser visualizada con Creepy, o en el caso de empresas una fuente de detalles que pueden ser usados en su contra usando FOCA

Hay muchas formas de perder la privacidad, en la mayoría de ellas nosotros contamos con cierto control - redes sociales en general - y en otras esta parece estar fuera de nuestro alcance - como en el caso de PRISM, PUMA y similares. En algunas otras ocasiones puede llegar a ser un descuido de nuestra parte por aceptar algo sin leer las letras pequeñas y de parte de las empresas que no garantizan la privacidad de los datos como deberían como demostró Jaime Andrés R. (mejor conocido como DragonJar)con su articulo sobre el Chevrolet  y como almacenaba datos sobre los comportamientos de manejo. 

El articulo de Popular Mechanics que desato esta entrada contiene un par de consejos y herramientas que no se abordaran aquí, dentro de todo me resulto interesante, la mayoría de ellas ya son algo conocidas. Para finalizar citare un par de renglones del mismo articulo que se refieren a los dispositivos móviles: "There´s no need to invent the ultimate citizen survillancedevice: It already exists, and it´s called the smarthphone". No creo que sea estrictamente necesario enterrar nuestro celular  y volver a usar las señales de humo o llevar una jaula de Faraday a todos lados, pero, quizá no este demás tener mas cuidado con las aplicaciones que instalamos y revisar la fuente que esta detrás de ellas... entre otras cosas.

Referencias: