(Por El Microsaurio) ¿Qué pasa si un periodista roba el password de otro en una sala de prensa? Si es durante una reunión de hackers, los echan, porque los hackers juegan limpio (a veces)
Entre las muchas noticias salidas de Black Hat Las Vegas de este año, la absoluta ruptura de la cacareada seguridad de Windows Vista es tal vez la más vistosa. La más seria, la falla de seguridad del sistema DNS, con sus laterales de cuidadoso manejo del riesgo. Esto último, una historia que te detallamos en esta nota.
Pero también hubo una veta de chusmerío de entrecasa, no exento de culebrón centroamericano con moraleja reglamentarista y sospechoso epílogo económico. Así que comencemos por el lado <light>, los temas técnicos los discutiremos durante la semana.
Para ponernos en situación, la semana pasada se realizó la Conferencia Black Hat 2008 en Las Vegas (EEUU). Para definirla con brutal brevedad, es una reunión de hackers de lo mejor + agentes de seguridad gubernamentales + investigadores de seguridad informática + vendedores de software variado (de Microsoft y Symantec para abajo).
También, por supuesto, van periodistas especializados de todo el mundo. Y claro, hay una sala de prensa. Apenas termina la conferencia Black Hat se inicia Defcon, una reunión donde se caretea menos y se corta más la torta de las vulnerabilidades. Ahí los Men In Black no son tan bienvenidos. Cómo será, que hay un concurso llamado “Spot the Fed” que consiste en señalar “miren, ahí hay un agente del FBI de civil” o de alguna variante similar. Con premios y todo. Los organizadores son parte del comité de Black Hat, pero son negocios separados.
Dentro de Defcon hay un salón que tiene The Wall Of Sheep. En una pared se proyectan los nombres de los asistentes cuyas laptop tienen tan idiotas normas de seguridad que han sido penetradas por algún otro asistente. Se hace a manera de dura enseñanza, porque se parte de la base de que no es una expo para comprar souvenirs. Para que los descuidados aprendan, se proyectan en público los password y otros datos que el invasor haya conseguido. Terrible y dura enseñanza, en verdad.
Sucedió el miércoles pasado que unos periodistas franceses, asistentes a Black Hat, usaron software de intercepción para “pescar” los password de las compus de dos periodistas norteamericanos que estaban trabajando dentro de la Sala de Prensa de la exposición. Y muy contentos, fueron a las autoridades de Defcon con la idea de que la información fuese expuesta al público para vergüenza de los desprolijos.
Según el pormenorizado detalle que hizo una de las víctimas, Brian Prince, redactor de e-Week, que tuvo los cojones para poner como título Cómo me hackearon en Black Hat, lo que los franceses capturaron fue el password para acceder al content manager de la empresa vía web. Prince cometió el error de conectarse sin entrar en una VPN de la compañía (y él dice que para entrar a ese programa no había VPN…). Como los periodistas franceses estaban conectados a la misma LAN de la sala, fue relativamente fácil leer todas las comunicaciones no encriptadas que iban y venían por esa red.
Al cazador le salió el tiro por la culata. Cuando los periodistas franceses fueron a pedir que se publicara el nombre de Brian Prince junto con los datos capturados por su descuido, los administradores de Black Hat les contestaron el equivalente de “flaco, ese no es un asistente cualquiera a la conferencia, y vos no estabas en el área de conferencias… ese es un periodista y vos interferiste una comunicación de un periodista… eso acá es delito…”. E hicieron tres cosas: avisaron al norteamericano que su password había sido quebrado, echaron de la conferencia a los franceses y prometieron informar del tema a las autoridades.
Hasta ahí todo muy bonito, pero el colorín colorado no es este. Como no me gusta quedarme con media historia, ubiqué el website de la revista francesa a nombre de la que se acreditaron, Global Security Magazine. Los nombres mencionados por Brian Prince coinciden con los de Marc Brami, director de publicaciones; Mauro Israel y Dominique Juniot, miembros del Comité Científico. En todo el website de los franceses no encontré una mención al incidente, pero sí dicen que van a asistir a Black Hat.
Poderoso caballero es don Dinero. Entonces me pregunté porqué los franceses no fueron detenidos, si habían violado una ley norteamericana dentro de una conferencia donde lo que abundaban eran agentes de FBI, la Homeland Security y hasta la Policía Montada del Canadá. Sobre todo, si los empleados de la empresa organizadora de la conferencia estaban tan enojados como para quitarles las credenciales y echarlos inmediatamente del edificio. Ahí, lo lamento, no tengo más que conjeturas. Pero… entre los sponsors de Black Hat Europe y de Black Hat Las Vegas que aparecen en esta página figura como Patrocinador de Prensa la revista Global Security Magazine, perteneciente a la empresa de seguridad francesa Global Security. Ah, bueno.