Monday, July 03, 2006

Crónicas de un Viajero: Wanna be Hacker

Mi último post fue el 30 de mayo, ha pasado un mes ya, pero aquí sigo en la lucha de hacer posts interesantes y continuos. Esta ausencia sucedió me mude devuelta para mi gran país Honduras (soy orgulloso catracho), asunto que consume tiempo. Así que este será mi primer post escrito en tierras catrachas.

Creo que este fue uno de mis viajes más interesantes y a la vez agotadores de mi vida y eso que viajado al medio oriente y Taiwán. Mi itinerario era el siguiente:

  • 19 de Junio Washington, DC -> Houston
  • Stop Over en Houston por dos noches
  • 21 de Junio Houston -> Tegucigalpa, Honduras.

Mi partida de DC supuestamente era a las 7:35 p.m., para mi sorpresa hubo un rían delay, porque cayo un torrente de lluvia sobre toda la ciudad de Washington, DC. Lo que atraso todos los vuelos desde las 6 de la tarde.

Yo regresaba bien cargado (como es de esperarse después de vivir en el capitalismo gringo) con maletas con sobre peso y además, exceso de equipaje de mano. Llevaba una maleta de 66 libras y otra de 50 y fracción. Ahora porque hago énfasis en mi equipaje y que tiene que ver con informática. Con esta pequeña crónica, pretendo ilustrar como hackie el método de control de peso de equipaje. No fue un hakeo computacional, sino más lógico y funcional. Pero en esencia pasa lo mismo cuando se encuentra un “backdoor”, una vulnerabilidad en IE o Firefox, etc.

“Hacking” según Hacking: The art of Exploration es encontrar una solución innovadora o ortodoxa a cierta situación que el individuo caracteriza como un problema (muchas veces computacional). En este caso mi problema era llevar mi exceso de equipaje a Honduras de la forma menos costosa y si era posible sin pagar nada.

Cuando se pretende hackear un sistema, se busca los puntos suaves o vulnerables del sistema, del ambiente donde se desenvuelve el sistema, sus usuarios, etc. Por lo tanto se debe hacer la investigación correspondiente antes del ataque, tratando de adquirir la mayor información posible par después ser analizada, cosa que hice antes de mi viaje. Si se desea saber como convertirse en un hacker pueden ver este how to, aunque creo que al final (hacker) solo es un nombre y cada individuo debe definir por su propia cuenta quien es, y un “how to”no es el lugar donde se debe empezar, aunque el articulo mencionado es interesante y merece ser leido.

Existe algo interesante de los aeropuertos de vuelos domésticos en Estados Unidos: el control de peso de equipaje, es menos estricto que en los aeropuertos Internacionales. Pueda ser que estoy equivocado y tuve suerte, pero son dos veces que salgo del mismo aeropuerto y noto que su control de exceso de equipaje y sobrepeso es “más suave”. También pregunte a viajeros recientes sobre la nueva cuota de peso de la aerolíneas (que bajo de 70 a 50 libras) y como se comparaba mi aerolínea vs las otras aerolíneas. Finalmente investigue cuanto se debía pagar por sobre cargo, los limites, condiciones, etc.

uando hice el check-in de mis maletas, era obvio iba sobre el limite en una maleta, por lo tanto pague los 25 dólares, y yo no tuve ningún problema con eso. Además yo ya tenía mi e-ticket impreso, por lo tanto solo tuve que hacer check-in de maletas. Claro que uno de los empleados de mi aerolínea, me advirtió y incluso casi apuesta conmigo que yo no iba a pasar de seguridad con las tres maletas de mano, y le dije serenamente que no me importaba. Así que por mientras hice tiempo poniéndole las etiquetas con mi nombre a mis maletas de mano. Cuando llego la hora de pasar por seguridad con mis tres maletas de mano, me revisaron el pasaporte y mi pase de abordaje, y después la “muchacha” me dijo que supuestamente son dos maletas no tres, pero yo le puse una cara “de mama tengo hambre” y listo estábamos dentro. Dado que era un lunes y dado que el aeropuerto lo cierran a las 10, creo que eso me permitió pasar con más facilidad. Ahora tuvieron que revisar mi mochila varias veces y hacer las pruebas de substancias peligrosas por la forma como traía mi stack de DVDs y CDs en blanco. Claro que uno de los empleados de seguridad quiso alertar, que supuestamente no tenía que haber pasado con esas maletas, pero al final no hizo gran escándalo y todo sin novedad.

Este asunto del equipaje es muy parecido cuando se desea comprometer la seguridad de un sistema, no importa el método que se utilice. Primero se debe investigar, ya sea conocer el sistema operativo, los servicios corriendo, services packs y parches aplicados, que tipo de usuarios tiene el sistema. Según el análisis de la información recopilada, se prosigue a aprovechar cualquier deficiencia que se detecto. Por lo tanto se puede apreciar la símilarridad entre este hacking de peso de maletas y el hacking de sistemas computacionales.

Lo siguiente es buscar mi Terminal y buscar algo de comer. Después de comprar un panini en el establecimiento que peor me han atendido (que me recordó a los Simpsons), me di cuenta que mi avión no llegaba era casi la hora de partida. Además que no cesaba de llover, y me di cuenta que iba a vivir mi primer rain-delay. Así que me comí mi panini, que al final no estuvo tan mal y bueno decidí sacar mi notebook. Cuando se tienen tres maletas de mano y una notebook de 17 pulgadas y se trata de sacarla y utilizara, empecé a escuchar ecos de los consejos de efutch que las notebooks de 17 incluso las de 15.4 son demasiado incomodas para manejar y no son portátiles.

Una vez que pude sacar mi notebook, me las quería tirar de hacker y decidi quise probar “Hacking the friendly Skies” que presencie en Shmoocon 2006 (para presentación hacer clic aquí y para el video de la charla hacer clic aquí). Para leer el paper que explica en detalle que consiste este asunto con las conexiones wireless leer aquí. Lo que se pretende es aprovechar el hecho que las laptops con dispositivos wíreless, tengan habilitada la opción de conectarse no solo a access points (A.P.) sino a ad-hoc wireless networks. De esta forma si yo hago un broadcast de un SSID a los cuales las laptops de los otros usuarios en la Terminal se hayan conectado con anterioridad, podré hacer que ellos se conecten a mi notebook simulando un AP.

Todo aparentemente suena fácil, pero desafortunadamente no encontré nada. Fui tan descarado que me senté en medio de dos personas con laptops, una chava con una toshiba y un chavo con una IBM. Estabamos tan cerca que todos podíamos ver que estábamos haciendo. El de la IBM estaba haciendo sus ondas con Project y la chava esta oyendo música y después se puso a ver “Wedding Crashers”. Después de probar muchas veces con netstumbler, no encontré ningún laptop haciendo broadcast de SSID y no pude hacer que ellos se conectaran a mi notebook.

Creo que si hubiera experimentado más con esto de los ad-hoc network connection y hecho pruebas de laboratorio, hubiera podido talvez tenido éxito en ambientes no controlados. Desgraciadamente no soy un viajero de cada 3 meses, entonces si deseo profundizar mas en este tema, se tendrán que hacer pruebas de laboratorio y replicarlo varias veces. Pero este rain delay me motivo lo suficiente para (en tierras catrachas) para prepararme para hacer una presentación en público e incluso una demostración.

Debido a mi fracaso decidí ver un show de wrestling que tenia grabado y que no había podido ver. Eso me permitió que las 4 horas (extras) de espera en la Terminal se fueran más rápido.

Legue a Houston a las 3 y fracción de la mañana, al hotel llegue a las 4 y después de relajarme me dormí a las 5 a.m. Hice lo que tuve que hacer en Houston y dormí otra noche allí.

Ya había podido evadir el problema de equipaje por un vuelo, me faltaba evadirlo en el siguiente vuelo, el que consideraba más difícil. Yo había pagado en DC sobre carga por una maleta, y en el recibo decía DC- TGU, y como en el recibo no decía por cuanto era el sobre peso por el cual había pagado entonces asumí que pagar por sobre peso no importa cuanto es la cantidad, entonces decidí meter cosas extras en la maleta que tenia 66 libras. Al final yo tenia mi maleta con la notebook y otra maletita de ruedas, así que el contenido de la mochila se fue en la maleta de sobre peso, vaya que quedo pesada.

El siguiente día vino el shuttle para el aeropuerto, el chofer cargo mi maleta y su expresión de la cara me lo dijo todo. Me comento que el había trabajado con maletas y que esa maleta estaba muy pesada y que no iba a poder a viajar con ella incluso me dijo que el creía que pesaba 80 libras. Como tenia mi plan, no le hice caso. Así que en le aeropuerto un Sr. con carreta me ayudo y me llevo a hacer el check-in de maletas.

En la fila de check in tienen una pesa para lidiar con maletas con sobre peso. La empleada de mi aerolínea dijo que tenia que pagar 100 dólares por maleta, y eso que la otra tenía 51.5 y (como me dijo el chofer del shuttle) la otra tenía 80 y fracción. En mi mente dije “esta Sra. esta loca, yo no pago nada más que los 25 que pague en DC.”

En el check-in de maletas me dijeron que no podía viajar con esas maletas, y yo simplemente les dije que vengo de Washington, DC así y aquí esta mi recibo de que ya pague exceso de equipaje. Uno de los empleados tomo mi e-ticket y mi recibo y me pidió que esperara. Por mientras la otra empleada que quedo conmigo, analizamos mi situación y me dijo que la maleta de 51.5 no tenia problema pero la de 80 si.

Al par esta una Sra. con sus hijos hablando en francés, aparentemente quejándose de mi porque el Sr. de la carreta metió la maletas en la balanza donde ella las iba aponer. Lo que me pareció tan interesante es que esta Sra. creyó que yo no le iba a entender que se estaba quejando de mí, o simplemente no tenia ningún problema que yo me diera cuenta. Y los hijos solo me miraban con pena, yo no se francés pero entendí todo, porque no se necesitan palabras para hablar, el tono, los gestos y las miradas. Al final moví mis maletas y ella se disculpo y dijo que yo era un buen muchacho y que era amable, en fin las personalidades que se encuentran en los viajes, que por cierto no era francés era canadiense.

En eso volvió el Sr. con mi recibo y mi e-ticket y me dijo que me iba a dejar ir así, pero que iban a hablar con DC, porque yo supuestamente no tenía que haber salido de alla con esas maletas. Finalmente solo faltaba pasar por seguridad.

Allí tienen a un Sr. diciéndoles a las personas que solo pueden llevar dos maletas de mano. Yo llevaba una mariconera en mi cintura, mi notebook, maleta rodante y un cuaderno o case para cargar CDs. No lo llevaba dentro de la maleta porque no quería presionar mucho un souvenir y mis otras cosas electrónicas que llevaba. El agente este me dijo que llevaba cuatro y que no podía pasar así. Bueno a mujeres con carteras también les hizo la misma cosa, que la cartera era un tercera maleta (lo mismo que mi mariconera).

Bueno metí todo en dos maletas pase seguridad y justo después de pasar saque otra vez y llevaba mis supuestas 4 maletas. Sinceramente fue algo ridículo, porque es seguridad de perímetro y una vez se quiebra esta seguridad, dentro se puede hacer cualquier cosa. Lo mismo pasa en las redes de compañías, bancos, etc. una vez que se evada el perímetro, adentro en la LAN se pueden hacer estragos.

Al final llegue tranquilo a Tegucigalpa, pero si me di cuenta que deja mucho que desear la las normas que ponen las aerolíneas y los aeropuertos, igual que las compañías donde gastan miles en equipo que al final se utiliza de forma incorrecta.

En general me parece que todo lo de esta década esta decidido porque esta de moda. Se pusieron de moda los ataques de gusanos y el spyware, así que se compra productos contra esto, se puso de moda el tema “terrorista” así se hace lo mismo, solo para decir que se esta haciendo algo. Lo mismo pasa con una infinidad de temas, desde genocidios, Tsunamis, huracanes, seguridad computacional, seguridad nacional, elecciones etc. Al final si esta de moda se hace algo, sino pasa a la historia así como cualquier actividad necesaria para lidiar con estos eventos en el futuro.

No comments: