Els “hackers” també truquen

Fa uns dies vaig llegir una història curiosa, en anglès, que vaig compartir a Twitter amb una descripció prou curta: “Quan robar una contrasenya és qüestió de dues trucades“. Escrita per Naoki Hiroshima, parla de com li van robar l’usuari @N de Twitter extorsionant-lo. I, sigui certa o no, és un bon conte per entendrè què és això de l'”enginyeria social“.

Però vull començar explicant-vos la diferència entre hacker cracker: el hacker està motivat pel desig d’aprendre i comprendre, de manera que mai es dedicarà a robar o extorsionar, i els qui ho facin són, en realitat, crackers.

Tornem a la història del robatori del compte de Twitter de Naoki Hiroshima: un resum molt breu seria que, accedint a un dels seus comptes d’usuari, l’atacant va obtenir accés a informació crítica -que no es podia perdre, bàsicament- per poder amenaçar-lo si no li donava l’usuari. I, finalment, li va explicar com ho havia fet -tot i que, evidentment, podria no ser cert, encara que fos creïble.

I, fixant-nos en l’explicació, podríem pensar que no és un “hacker”, ni un “cracker”: hauria obtingut contrasenyes trucant a PayPal fent-se passar per un empleat. A partir d’aquí hauria arribat, també amb una trucada, a l’àrea de gestió dels dominis de Naoki Hiroshima. I, llavors, era qüestió d’esperar (canvis de DNS). Però per acabar més ràpid, l’atacant va amenaçar Hiroshima, i li va demanar per correu electrònic que deixés lliure l’usuari @N a Twitter. Així de senzill.

Això ens porta a l’escletxa de seguretat més gran de la informàtica: les persones. D’aquesta estratègia -enganyar- se n’hi diu «enginyeria social», i bàsicament consisteix en deixar de banda les pantalles a l’estil Matrix i les hores picant codi al teclat, i substituir-ho per una bona mentida que ens acabi donant accés a la informació que necessitem. I és que, normalment, la millor manera de saber una contrasenya és preguntant-la.

Per part meva, en aquest cas concret, dubto de si realment l’atacant va dir la veritat sobre PayPal. La companyia es va afanyar a desmentir-ho, i, segurament, després de cometre algun delicte, no explicaríem a la nostra víctima, pas a pas, com ho hem fet: hauríem d’estar massa segurs de no haver deixat pistes, oi?

Sigui com sigui, aquesta és una altra preocupació que hem de tenir: podem tenir contrasenyes segures, tot molt ben gestionat, i, al final, que algú aliè a nosaltres, d’alguna empresa de la que som clients, ens la canviï perquè algú l’ha convençut per telèfon. Perquè la seguretat absoluta no existirà mentre hi pugui haver errors humans.

 

Leave a comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *