Els “hackers” també truquen


Fa uns dies vaig llegir una història curiosa, en anglès, que vaig compartir a Twitter amb una descripció prou curta: “Quan robar una contrasenya és qüestió de dues trucades“. Escrita per Naoki Hiroshima, parla de com li van robar l’usuari @N de Twitter extorsionant-lo. I, sigui certa o no, és un bon conte per entendrè què és això de l’”enginyeria social“.

Però vull començar explicant-vos la diferència entre hacker cracker: el hacker està motivat pel desig d’aprendre i comprendre, de manera que mai es dedicarà a robar o extorsionar, i els qui ho facin són, en realitat, crackers.

Tornem a la història del robatori del compte de Twitter de Naoki Hiroshima: un resum molt breu seria que, accedint a un dels seus comptes d’usuari, l’atacant va obtenir accés a informació crítica -que no es podia perdre, bàsicament- per poder amenaçar-lo si no li donava l’usuari. I, finalment, li va explicar com ho havia fet -tot i que, evidentment, podria no ser cert, encara que fos creïble.

I, fixant-nos en l’explicació, podríem pensar que no és un “hacker”, ni un “cracker”: hauria obtingut contrasenyes trucant a PayPal fent-se passar per un empleat. A partir d’aquí hauria arribat, també amb una trucada, a l’àrea de gestió dels dominis de Naoki Hiroshima. I, llavors, era qüestió d’esperar (canvis de DNS). Però per acabar més ràpid, l’atacant va amenaçar Hiroshima, i li va demanar per correu electrònic que deixés lliure l’usuari @N a Twitter. Així de senzill.

Això ens porta a l’escletxa de seguretat més gran de la informàtica: les persones. D’aquesta estratègia -enganyar- se n’hi diu «enginyeria social», i bàsicament consisteix en deixar de banda les pantalles a l’estil Matrix i les hores picant codi al teclat, i substituir-ho per una bona mentida que ens acabi donant accés a la informació que necessitem. I és que, normalment, la millor manera de saber una contrasenya és preguntant-la.

Per part meva, en aquest cas concret, dubto de si realment l’atacant va dir la veritat sobre PayPal. La companyia es va afanyar a desmentir-ho, i, segurament, després de cometre algun delicte, no explicaríem a la nostra víctima, pas a pas, com ho hem fet: hauríem d’estar massa segurs de no haver deixat pistes, oi?

Sigui com sigui, aquesta és una altra preocupació que hem de tenir: podem tenir contrasenyes segures, tot molt ben gestionat, i, al final, que algú aliè a nosaltres, d’alguna empresa de la que som clients, ens la canviï perquè algú l’ha convençut per telèfon. Perquè la seguretat absoluta no existirà mentre hi pugui haver errors humans.

 


Deixa un comentari

L’adreça electrònica no es publicarà.