Let's Go Phishing!

"Pez viejo no traga anzuelo."

Bueno, o eso era antes. Ahora ser mayor no implica tener mas experiencia... al menos en temas informáticos.

Todos tenemos algún pariente (generalmente de edad avanzada) que viene rezagado en esto de la computación ya sea por razones generacionales o porque creía que nunca lo iba a necesitar.

Recuerdo que hasta hace un par de años una amiga de mi madre cada vez que me veía decía "no me interesa eso de las computadoras, no sé como podes estar todo el día adelante de la pantallita". Hasta que un buen día descubrió que algunas de sus compañeras del aquelarre se mandaban mails entre sí, generalmente con chistes, cadenas tontas y advertencias sobre la seguridad (aquella vieja historia de un tipo que se despertó en una bañera llena de hielo con un riñón extirpado).

Como no podía quedar afuera y ser víctima de comentarios ajenos, se compró una computadora. Me pidio que la ayudara a configurar todo, tarea que obviamente detesto, pero no tuve escapatoria. Aún recuerdo cuando fue a crear su usuario de mail, y al elegir la password quería poner "1234". Le dije que no, que tuviera cuidado, que era una password muy fácil, alguien se la podría robar. Su respuesta fue: "y quien va a querer robarme la password a mi, no me importa, que se la queden".

Ayer me llamó desesperada porque le habían robado la password, y entonces no podía entrar a su correo, había perdido todos sus contactos y no tenía en qué ocupar su tiempo después de mirar Los Únicos.

Conteniendo la risa pero poniendo cara de yo te avisé y vos no me escuchaste, oh no no no no no, le pedí que me contara que le había pasado. La historia es la siguiente.

Un día entró a su correo, como siempre. Le llegó un mail de Hotmail, diciendo que su correo estaba siendo usado para enviar pornografía, que cambiara la password.... con un botoncito que la llevaba a la página de Hotmail y donde podía poner su nueva password. Ya en ese momento me di cuenta de lo que pasó, pero la dejé seguir hablando.

Dice que después de poner la página nueva, la invitaban a entrar al correo... usando su nueva password, claro. Cuando trató de entrar, la password no le funcionó, así que pensando que la habría escrito mal entró a "he olvidado mi contraseña".... donde amablemente le hacían una serie de preguntas personales (muuchas preguntas, en realidad) y de paso le pedían un número de tarjeta de crédito para validar su cuenta.

Ante mi pregunta descontrolada me dijo que no, que no les puso el número de tarjeta de crédito, porque "qué les importa a los de Hotmail saber cuanto gasto en la tarjeta"  ;)

En fin... qué fue todo esto? Un clásico ataque de phishing

Se dice que la palabra deriva de fishing (pescar), y es una técnica de ataque bastante sencilla. Está especialmente diseñada para gente distraída o con poco manejo de tecnología. La idea es indicarle a alguien que su usuario / password / etc  de un sitio está por caducar, o tiene que ser cambiada, o bla bla bla, entonces mediante un link común se lo redirige a una página que se parece mucho a la página del sitio real. Esa página en realidad esta ubicada en otro servidor (propiedad de los amables atacantes), entonces cuando el desprevenido usuario ingresa sus datos en vez de hacerlo en el sitio oficial se los está entregando en bandeja a los amigos pescadores.

La variante a la cuál fue expuesta esta señora fue una forma rebuscada de conseguir números de tarjetas de crédito. No sé si les funcionará muy bien porque (quiero creer) que en los días que corren poca gente anda por la vida poniendo su tarjeta de crédito en cualquier lado... pero bueno, alguno todavía debe caer.

¿Como defenderse ante esos ataques?

Desde nuestro lado (como proveedores de servicios informáticos), no hay mucho que hacer. Lamentablemente depende de la habilidad del usuario en darse cuenta o en seguir nuestras recomendaciones (cosa que, por cierto, nunca hacen).

El primer paso es mirar la URL.... si es diferente a la esperamos para el sitio, deberíamos sospechar.A veces para el usuario final es dificil darse cuenta porque pueden parecerse mucho a una URL real.

También está el tema del certificado de servidor. Los servidores "reales" tienen un certificado digital, firmado por una autoridad certificadora reconocida, que valida que son quienes dicen ser. Este certificado se puede ver y confirmar (con esos candaditos que aparecen en algún costado de la pantalla), pero nadie lo hace, por más que se lo indiquemos explícitamente.

Los sitios falsos no suelen tener certificados reales. Lo divertido es que muchas veces el browser nos avisa que el certificado no es válido, y lo dejamos seguir igual... aquella vieja costumbre de aceptar cualquier mensaje que le aparezca sin siquiera mirarlo.

De hecho esto me recuerda a un usuario en mi primer trabajo, que cada vez que le aparecía un mensaje de error en la pantalla lo cerraba rápido (a veces sin leerlo), para que "el error se fuera rápido y pudiera seguir trabajando".  Sólo después que el mismo error le apareciera varias veces sin dejarlo salir de la pantalla, llamaba a soporte.

En fin, humanos.... :)

Twitter: nuevas andanzas del pajarito bocón

Lo confieso, lo digo y lo repito: todavía no le encontré utilidad a Twitter.

Para los más despistados, oficialmente Twitter es una herramienta de microblogging. Algo así como un lugar para poner la respuesta a la clásica pregunta: "¿qué estoy haciendo?". Claro que también se usa para publicidad, difusión de contenidos, etc etc etc...

Reconozco que he hecho el esfuerzo de unirme a Twitter, varias veces. Durante períodos más o menos durables de tiempo me he propuesto conectarme, leer lo que pone la gente que sigo (alrededor de 10 usuarios son activos, 2 o 3 son realmente compulsivos) y publicar algo. Claro que no siempre se me ocurre algo algo ingenioso que publicar y muchas veces la auto-censura me juega en contra.

La historia de hoy viene de la mano de un agregado que no conocía... quizás existe desde hace tiempo pero recién hoy tomé conciencia de su potencia.

Generalmente me conecto al Twitter a través de un cliente para el teléfono. Sabiendo que el microblogging está desde sus orígenes asociado a la telefonía móvil, creo que es la mejor forma de evaluarlo.

Hace algunos minutos navegando por las opciones encontré una que decía Nearby Tweets. Entré, sospechando de lo que se trataba y sí, efectivamente, pude acceder a tweets de gente en ubicaciones geográficas "cercanas" a la mía.

La explicación (bastante sencilla) es que los tweets enviados van asociados a la geo localización de la terminal de quien los escribe (en este caso, mi celular), permitiendo mostrar un mapa con puntitos de gente cercana y lo que publican.

Como estoy trabajando en las inmediaciones de la Plaza Independencia buena parte de los tweets eran de turistas brasileros, onda "a praça é muito bonita" o "to morrendo de frio aqui no Uruguai"... pero también había mensajes de gente asistiendo a un par de conferencias aquí a la vuelta o el menú de un restaurant (si me hubiera enterado a tiempo que hoy había cazuela de lentejas seguuuuro que me iba pa ahi).

Y bueno, debo reconocerlo... la simplicidad (y la potencia) de la idea me dejó helado. Perdón si alguno ya lo sabía y este post resulta totalmente sin sentido, pero no podía dejar de escribirlo.

Y ahora, a notificar a los seguidores de @lolivera :)

Está en nuestra naturaleza

Hay una vieja fábula de origen incierto (como la mayoría de las fábulas) que habla sobre la inevitabilidad de nuestro destino. Hay muchas versiones cuyo elemento en común son sus protagonistas: un anfibio bondadoso y un depredador asesino (la rana y el escorpión, la tortuga y la serpiente, etc etc etc). En nuestro caso será la araña pollito y el ornitorrinco.

Estaba una araña analizando las alternativas para cruzar un lago. No había maderos para ser usados como canoa, ni camalotes que sirvieran de colchón flotante, ni edificios desde donde atar su tela y emular a su homónimo humano. Así que pensó en pedir ayuda a algun bicharraco que anduviese en la vuelta.

Casualmente pasaba por ahí un ornitorrinco, que ademas de buen nadador era peludo y mullidito, cualidades que le las arañas suelen apreciar. Luego de las presentaciones pertinentes, la araña le pidió ayuda al ornitorrinco: "A ver, amistá... sale una fuerza ahí? Yo tengo que cruzar, vos sabés nadar, mirá que no peso nada, no te cortés solo!" . A todo esto el ornitorrinco expresó su desconfianza... y si la araña lo picaba? Obviamente la araña le dio su palabra de que no le iba a hacer nada: "Estamos en el mismo barco", le dijo.

En fin, haciendo acto de fé al juramento del arácnido, la dejó subir por el pico hasta que se acomodó en la cabeza y se metió al agua mientras la araña tarareaba canciones de piratas y navíos.

Pero resulta que, en medio de la travesía, el ornitorrinco siente la mordedura de la araña (N de T : las arañas pollito son venenosas), a lo que muy ofendido le dice: "Estimada araña, te das cuenta de lo que estás haciendo? Si me hundo, vos también te hundís y nos morimos los dos. ¿Por qué me mordiste?". A lo que la araña misteriosamente contesta: "No puedo evitarlo, está en mi naturaleza". (Moraleja de la historia: si una araña te pide que la lleves al otro lado del lago, decile que no).

Sin querer parecernos a la araña, muchos informáticos (como otros tantos seres vivos) somos víctimas de nuestra propia naturaleza. Personalmente, a mi me pasa con el tema de la eficiencia.

Aunque no quiera, suelo andar por la vida buscando formas mas eficientes de hacer las cosas. Claro que en la mayoría de los casos lo aplico a las ineficiencias ajenas, no a las propias.

Por ejemplo, el otro día subí por primera vez a un nuevo modelo de ómnibus urbano de cierta compañía. La tradición local dicta que se sube por la puerta de adelante, donde el boleto puede ser cobrado por el conductor o por el guarda (sobre la ineficiencia de tener una persona exclusivamente para expender boletos hablaremos en otra ocasión), y se baja por la puerta ubicada al fondo del vehículo. La diferencia en este caso es que estas nuevas unidades tienen la puerta de descenso en el medio... y no tienen puerta de atrás.

Analizándolo fríamente, es de una ineficiencia suprema. Es natural subir por un extremo y a medida que transcurre el viaje irse acercando paulatinamente a la salida en el otro extremo. De esta forma tenemos un flujo contínuo de gente hacia atrás, para deleite del señor guarda y el señor conductor. Y en caso que no suceda espontáneamente siempre está el clásico grito "Pasando al fondo que hay lugaaaaar", a lo cual los pasajeros apretujados suelen pensar en cuando habrá sido la ultima vez que el personal del omnibus viajó parado, y toda suerte de improperios que (por suerte) pocas veces son dichos en voz alta.

Analicemos el comportamiento de los pasajeros cuando sólo hay una puerta de salida en el medio.

Primero, nadie tendría la necesidad de caminar hacia el fondo... y si lo hiciera, se estaría alejando de la puerta de salida, cosa que nadie realmente quiere. Por lo tanto mucha gente se queda parada en la plataforma en el medio del coche.

Por otro lado, los pasajeros que efectivamente tratan de caminar hacia el fondo terminan chocando con la gente que estaba sentada atrás y trata de bajar, generando un choque de flujos en sentido contrario, con la consiguiente congestión y mal humor generado.

Para completar el cuadro, tanto la subida como la bajada estan a nivel de calle (sin escaleras) lo que es bueno para gente con problemas de locomoción, pero obliga a que la parte de atrás sea mas elevada (en algún lugar había que poner el motor, no?). Casualmente hay una serie de barras y pasamanos mucho mas profusos y robustos que en un coche habitual. Eso nos lleva a sospechar si están para ayudar a la gente que viaja parada o cumplen funciones estructurales... será seguro el vehículo?

En esos pensamientos viajaba absorto cuando sube un colega de trabajo y se sienta unos asientos mas adelante. Pude ver su reacción cuando notó el modelo del ómnibus, miró la puerta de salida, miró la maraña de pasamanos y puso cara de desconfianza.

Me pregunto... estaría pensando lo mismo que yo? Seguramente sí.

Está en nuestra naturaleza...