La Universidad de Deusto vive desde ayer un gran revuelo por la presunta difusión de fotos íntimas de alumnos y alumnas, suceso inicialmente achacado por los usuarios a un presunto hackeo de la red wifi de la institución educativa, aunque desde el mismo centro niegan tal extremo. Investigadores del caso y expertos en tecnología barajan dos hipótesis
|
etiquetas: universidad , deusto , robo , fotos , hackeo , wifi , investigación
- Cuando alguien hace el jailbreak al iPhone, una de las cosas que hacen varios de los programas para poder instalar aplicaciones crackeadas es habilitar el SSH.
- Cuando alguien se conecta a una red local(en este caso la red de la universidad) con un iPhone con el SSH activado, cualquiera que este conectado y mirando con programas del tipo Ciberduck, le aparece la conexión a la red de cualquier dispositivo Apple en la pestaña Bonjour. Que supongo que será un protocolo propio. No se.
- Una vez detectado, es tan fácil como establecer una conexión SSH con el iPhone. Esto es excesivamente fácil porque muy poca gente cambia el login por defecto, que es user: root y password: alpine.
- Una vez dentro se busca la carpeta de fotos. No se la ruta, pero vamos, en internet está todo.
- Voilá! Acceso a todas las fotos.
Hay que tener mucho más cuidado con el tema de wifis públicas.
- Cuando alguien hace el jailbreak al iPhone, una de las cosas que hacen varios de los programas para poder instalar aplicaciones crackeadas es habilitar el SSH.
- Cuando alguien se conecta a una red local(en este caso la red de la universidad) con un iPhone con el SSH activado, cualquiera que este conectado y mirando con programas del tipo Ciberduck, le aparece la conexión a la red de cualquier dispositivo Apple en la pestaña Bonjour. Que supongo que será un protocolo propio. No se.
- Una vez detectado, es tan fácil como establecer una conexión SSH con el iPhone. Esto es excesivamente fácil porque muy poca gente cambia el login por defecto, que es user: root y password: alpine.
- Una vez dentro se busca la carpeta de fotos. No se la ruta, pero vamos, en internet está todo.
- Voilá! Acceso a todas las fotos.
En fin, hay tantas formas tan fáciles de que hubiera pasado esto, que todas esas hipótesis de troyanos en el Whatsapp son un poco demasiado retorcidas.
Al menos puedo decir sin duda alguna que los hechos ocurrieron, ya que una de las víctimas es conocida de mi ex y estudió grado superior el año anterior donde ahora cursa la primera.
Te lo digo por que me encuentro varías decenas cada mañana si ó si...
Pero me la suda. Si tienen ese cerebro para subir fotos, es que no tienen muchas luces. Aunque huele a venganza por un hecho similiar ocurrido en un instituto de secundaria relacionado con lo de la chavala del Image.
O yo no me he enterado bien, o el Castellote no se ha enterado bien o el periodista no se ha enterado bien, pero lo anterior me parece una gilipollez supina. S.E.U.O.
Pero yo no digo nada.
Whatsapp sobre wifi publica = Craso error.
Fotos "amateur" cogidas por alguien al azar desde internet a las que ha añadido la coletilla "Alumnas de Deusto" o similar, y dió pie a la tormenta.
Parece que el comienzo de todo esto es la foto comprometida de una menor que se colgo en la web de una discoteca de Berango, en los alrededores de Bilbao, que provocó movimiento en las redes sociales que alguien aprovechó para colar las otras fotos.
www.adminso.es/index.php/SNNIFER-WhatsApp_Sniffer
www.androidpolice.com/2012/05/02/whatsappsniffer-shames-whatsapps-plai
miequipoestaloco.blogspot.com.es/2012/02/whatsapp-sniffer.html
Si, ya sé que Deusto queda muy lejos de Madrid, pero así y todo... para curarse en salud, digo...
Y la verdad, qué facilidad tienen los medios en llamar hackeo a todo. Si realmente se hubieran sacado fotos se hubiera hecho con un simple sniffer.
#20 No fue en Berango sino en Barakaldo, y mis compañeros estuvieron en directo.
Una chica de 16 años (de entrada no deberia estar alli por ser menor) se subio a la tarima de una conocida discoteca de aqui y se puso a bailar con un vestido corto... la cosa es que no llevaba bragas.
Como ahora esta de moda que haya fotografos en las discotecas y que luego suban esas fotos a la web del local, el tio no tuvo mejor ocurrencia que apuntar la camara hacia las "partes" de la tia, viendose su cara por supuesto y la gente de los alrededores.
Digan lo que digan, se NOTA que la foto esta intencionadamente hecha, y que no fue una mera casualidad. Esta enfocada directamente a la entrepierna de la chavala
El lumbreras del fotografo no tuvo mejor ocurrencia que subir todo el lote de fotos a la web sin revisar ni nada. Al cabo de unos minutos habia gente en Facebook vacilando a la chavala en su muro con cosas como "¿que fiesta ayer, ehhh?" y ella contestando lo tipico de chonis: "si, jajaja fieston total, jajajja" sin saber por supuesto porque de repente tanta gente le estaba escribiendo...
Hasta que salto la liebre claro. Cuando la foto fue subida a forocoches.
La madre posteo para decir que iba a denunciar al fotografo y su respuesta fue, (casi) literalmente: "En lugar de gastarte dinero en denuncias gastatelo en comprarle a tu hija unas bragas", lo cual demuestra la catadura moral del sujeto.
Y entiendo, porque yo he hecho fotografia de eventos (no de discotecas, pero si de salones de comic por ejemplo) que debido al volumen muchas veces se suben fotos sin revisar y puede salir gente con caras raras, pero en este caso no tiene justificacion, porque como dije la foto iba directa a lo que iba. No fue una casualidad.
Eso respecto a lo de Barakaldo que comenta #20.
Respecto a lo de Deusto, no se si es una bola de nieve como comentais porque no he tenido informacion de primera mano. Solo lo que me llego de oidas, y versiones contradictorias. Mi idea fue algo como lo que dice #4 o mas probablemente, un telefono Android (y no iPhone) con una aplicacion instalada que de permiso para recopilar la galeria de fotos. Algo tipo BilboBus, que esta desarrollada por un particular pero que sea util para la gente de por aqui (no digo q sea esa app, lo pongo de ejemplo), y que el desarrollador haya visto el "material" de una hipotetica conocida y haya decidido sacarle partido. O que sea una simple leyenda urbana derivada de lo de Barakaldo de la semana pasada (Porque lo de deusto salio al par de dias de que subieran a forocoches lo de Barakaldo, que ocurrio el pasado sabado)
Saludos.
PD: Ahora me siento una mierda comentando "sucesos". Parezco un tertuliano de telecinco joder, yo que solo venia a meneame a comentar noticias politicas principalmente.
En mis años de facultad (hace 5 años), se sabía que en la wifi de la biblioteca había gente sniffeando a saco las conversaciones de lo que por aquel entonces estaba de moda, el messenger (cuyos mensajes iban sin cifrar).
No sé de qué se sorprende la gente a estas alturas...
www.elcorreo.com/vizcaya/v/20121127/vizcaya/retiran-fotos-comprometedo
Y lo que he contado en mi comentario #20 es lo que está diciendo ahora la Ertzaintza, un viral en toda regla...
www.elcorreo.com/vizcaya/v/20121130/pvasco-espana/eres-foto-porno-2012
Mira que el periodista se ha esforzado de cojones, pero ni por esas...
Lo arreglo puesYa no puedo editarlo y arreglarlo. Como tanto mis compañeros como yo vivimos todos en barakaldo y esto esta lleno de discotecas supuse que fue aqui. Telefono escacharrado ya se sabe. (A mi no me gusta este tipo de ambiente nocturno cani y no salgo)Lo que dice en el artículo, no tiene mucha lógica, pues casi todos los servidores de email actuales usan SSL, lo cual imposibilita al atacante a leer el trafico, pues está cifrado. La única opción seria que se pasasen las fotos por el correo de la propia universidad que no use ssl. (Esto pasaba en la propia universidad de Granada hace no mucho tiempo)
La otra explicación y la más probable es Whatsapp...con solo estar en la misma red, puedes ver todo el trafico de la red.
#46 pero tengo entendido que whatsapp usa encriptación desde hace un año o asi. Era como es lógico, una de las cosas más demandadas
www.meneame.net/story/espia-whatsapp
gamersmafia.com/storage/comments/612/12/maximum_trolling.jpg
El coste es casi cero para los creadores de tal software.
#50 Aunque la wifi esté cifrada, una vez dentro, olvídate de la seguridad si no cifras toda la comunicación.
Toda, tanto autenticación de usuario y contraseña como el mensaje a transmitir.
Es peligroso tener un movil que tiene funcionalidades que facilitan la vida pero hay que saber usarlo con cautela.
Pero todavía no se puede, ¿no? Eso sería muy interesante por que podrías usar Whatsapp con OTR, pasándole la clave a tus contactos por email, bluetooth, sms...
Aunque la wifi esté cifrada, una vez dentro, olvídate de la seguridad si no cifras toda la comunicación.
Supongo que para que la wifi en sí esté cifrada habría que usar VPN entre el ordenador cliente y un punto ya fuera de la wifi, como dices no valdría con WPA si todo el mundo tiene la clave. Un vídeo interesante:
eliatron.blogspot.com.es/2012/11/cuando-la-criptografia-falla-el-video
Ahora mismo, decir que con la mayoría de iPhones se está más seguro que con la mayoría de Android, es estar bastante alejado de la realidad (el porcentaje de iPhones con jailbreak es bastante más elevado respecto al de Android rooteados)
Pero es que además no se trata de la plataforma que utilice el teléfono móvil al que se ataque, más bien tiene que ver el software que corre en estos teléfonos, sobretodo (pero no únicamente) WhatsApp es tan fácilmente hackeable que hasta un tonto sabría hacerlo con un programa a tal fin.
Entre las opciones del robado de fotos de iPhones con jailbreak, las provenientes de conspiraciones como la que comentas en terminales Android, y simplemente el ataque man in the middle con WhatsApp, yo me jugaría el cuello a que el 90% de las fotos vienen de esto último.
Raro raro raro
www.joynus.com/
Just sayin'.
Dando por hecho, de entrada, que lo de Deusto es un bulo, pero ya que nos hemos puesto a debatir sobre el tema de la seguridad en terminales moviles:
Si, lo que comentais del iPhone es totalmente cierto. De hecho recuerdo como en el iPhone 1G ese que nombraba, cuando hice jailbreak y la pass por defecto, Alpine, la cambie por seguridad, casi brickeo el terminal (en aquella version del software de jailbreak (usaba el UNICO método disponible para Ubuntu en aquellos momentos, al poco de salir al mercado el iPhone) era una necesidad dejar la pass por defecto, con la brecha que eso conlleva).
Volviendo al tema, es una regla general que un pijo no tiene hecho jailbreak en su telefono, salvo que sea un poco geek. El coste de oportunidad de buscar en internet, descargar herramientas, asumir el riesgo de brickeo etc les supone un quebradero de cabeza mayor que simplemente instalar cualquier basura de pago del AppStore, y las herramientas extra disponibles en Cydia, si no es alguien minimamente geek, no suelen interesar (ver punto 1).
Desde el punto de vista técnico si que seria posible, pero lo veo poco probable.
Sin embargo, leer la informacion multimedia (fotos) en un smartphone es sencillo. Por eso muchas webs recomiendan no tener nunca fotos comprometedoras en el movil. Y da la casualidad de que si iOS es vulnerable en este sentido, Android es aun mas permisivo a la hora de permitir a aplicaciones recopilar esa informacion (Tenia un post de un blog sobre seguridad que hablaba de esto, los problemas de iphone y los aun mayores de android, pero no lo encuentro). ¿A cuantas lusers chica-pija-promedio habeis visto preocupadas por la seguridad de sus terminales? Se que es una generalizacion, pero normalmente quieren el smartphone, primero para lucir, y segundo para instalar cualquier basura que encuentren por ahi, independientemente de los permisos que pida. "Oh mira! un puzzle bubble que pide todos los permisos posibles de Android! Anda mira, si instala spam! Oh! Mi numero de telefono ha sido recopilado y ahora me llaman centralitas 805 para que les devuelva la llamada!"
#57 ya lo tiene en cuenta. OTR (complemento de pidgin y otros, en android hay Gibberbot que implementa OTR) cifra en local con una clave asimétrica, y todo lo que pasa (incluído por el router de tu casa) pasa codificado. El cifrado de OTR es distinto al cifrado SSL, pudiendose aplicar ambos por separado o simultáneamente.