Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

Observación del dolor

Sin duda, este post será algo raro para quienes lo lean porque parte de una situación personal que me ha tocado vivir en estos días, pero a pesar de lo difícil del momento, la pasión por lo que hago me obliga de alguna manera a hablar sobre Ingeniería Social aún, en días así.

A poco menos de una semana para ir a Defcon XX (http://www.defcon.org/), y ansioso como un nene por viajar, estaba junto a mis amigos entrenando para la tercera Hackcup (http://www.hack-cup.com/) en Las Vegas con el objetivo de traer la copa a casa este año (o al menos el gorro de mi amigo el Chema) hasta que, cuando apenas faltaban 10 minutos para terminar el partido, ocurrió lo impensado:

tras esquivar la mortífera defensa compuesta por Nico Waisman, Sebastián Fernandez y como último hombre Martin Tartarelli, intenté abrir la pelota para dejar solo a mi compañero y goleador frente a la valla de Ezequiel Sallis, sin embargo mi pie se afirmó en el suelo mientras que mi pierna intentó seguir el recorrido habilidoso hacia el lateral derecho provocando que mi tobillo sufra una luxación. En ese mismísimo momento, al sentir el estrepitoso “crack” de mi huesos quebrandose y dejando la tibia a solo dos mililitros de la piel salvandose por poquito de ser una fractura expuesta, me dí cuenta que mi viaje y mis ganas de ganar la hackcup se habían terminado en ese segundo

  IMG_0118.jpg    

Imagen del día con mi pie en su lugar esperando mi operación. Go Cosmic Kites, go!!

Casi como en una pesadilla eterna al estilo Freddy Krueger, vi mi pie totalmente fuera de lugar y sentí un dolor realmente insoportable mientras escuchaba como mis amigos me consolaban y llamaban a la ambulancia que vino “rapidamente”, tardó nada mas que una hora y media desde que llamaron inicialmente. Una vez en la ambulancia atendido por un doctor y un camillero que al ver el cuadro decidieron no tocarme hasta llegar al hospital para evitar un sufrimiento mayor (y se los agradezco muchísimo), durante casi media hora estuvimos sin movernos de la puerta de la cancha porque no le asignaban destino hasta que finalmente escuché el sonido que les indicaba que hacer…Eran unas pocas cuadras hasta la clínica pero el movimiento de la ambulancia retumbaba en mi tobillo salido de lugar y fracturado de una manera indescriptible, y al bajarme de la ambulancia ingresamos a la sala de guardia donde estuve otros 40 minutos sin ser atendido hasta que vino una doctora que me trajo mucha tranquilidad. Cuando la vi, lo primero que le supliqué es que me anestesiara y después que haga lo que quiera, y ella me contestó contemplativa:

pero parece mentira, todos caen a la guardia a la hora de comer, no lo puedo creer” y continuó: “no te puedo dar nada cachorro, no me dejaron en la guardia ni una lapicera ni un recetario, yo no soy administrativa, no puedo hacer mi trabajo si no me dejan las cosas que necesito…”   

Creo que no es necesario seguir describiendo como me fue con esa doctora quien luego de una placa y otra hora de tiempo, me acomodó sin anestesia alguna mi pie en su lugar… En ese momento de intenso dolor recordaba anécdotas de otros jugadores que contaban que el dolor se aflojaba con el tiempo, pero también recordaba anécdotas que contaban lo contrario. En mi experiencia última, y después de tanto tiempo de sufrimiento sin anestesia, puedo decir que el dolor era constante y fuerte, no aflojaba, pero lo que sí cambió desde el momento cero hasta la segunda vez que me acomodaron el tobillo (un excelente equipo de traumatólogos en el quirófano de la misma clínica, con una atención realmente excelente), fue la percepción de lo que sucedía a mi alrededor y sobre eso decidí escribir hoy.

Al momento inicial del golpe, solo unas cuestiones pude observar y otras no puedo ni recordarlas (recuerdo por ejemplo las caras de susto de quienes estaban conmigo, la desesperación por querer ayudarme de Paolo y Jorge y no saber que hacer con la ambulancia que no venía, el flash de una cámara de fotos de un curioso, etc.). Sin embargo, desde que entre en la camilla al hospital, algunas cuestiones de más trascendencia se quedaron en mi cabeza:

1) Al ingresar con la camilla, no había nadie de la clínica para recibirme y el camillero me traslado directo y por su cuenta  (tras preguntar y no tener respuesta) hasta la puerta donde me atenderían. Puede parecer normal, pero si ese ingreso mío y el de todas las personas que me acompañaron implica estar “dentro” de la clínica y moverse por cualquier lado sin ser identificado (absolutamente nadie le pidió a los que me acompañaron que se identifiquen o registren en ningún momento), esto ya se convierte en algo un poco más complicado. Increíblemente, desde donde estábamos podíamos acceder a cualquier lugar de la clínica sin ningún problema…

2) Mientras esperaba ser atendido por la doctora que no me podía dar un calmante porque no tenía papel ni lapicera para escribir, estaba en una sala (tipo consultorio) donde los doctores cuentan con una PC conectada en red. Desde mi camilla podía observar que la doctora accedió a ella para completar datos sobre el paciente (sobre mi) en un sistema bastante precario del tipo historia clínica digital, y a su vez, cada vez que se retiraba para ir a atender a otro paciente dejaba sin bloquear la estación de trabajo. Claro que ustedes pensaran que en mi condición mucho no podría hacer, pero cualquiera de todos los que me habían venido a acompañar y no estaban registrados, sí podrían…De hecho, todos entraban a conversar conmigo al pequeño consultorio durante un rato y luego salían, se sentaban o se quedaban parados junto a mi, o junto a la PC…

3) Mi familia, intentaba conseguirme un traslado a otra clínica de mayor confianza donde suelo atenderme mientras me acomodaban la luxación, para que la operación sea realizada con mayores garantías, pero lo interesante es que increíblemente, el personal de administración que no tenía muchas ganas de trabajar ese día, decidió darle un teléfono de un mostrador, le indicó como tomar línea en la central y se fueron dejandolos solos para todos los llamados y trámites. Independientemente de la falta de acompañamiento para la situación, pensemos con un poco de maldad, que pasaría si quiero llamar a una víctima haciendome pasar por un empleado de la clínica?? Qué me mejor que llamar desde la clínica misma??

En muchas charlas hice hincapié en la planificación de un ataque de Ingeniería Social, y de hecho e insistido sobre la importancia de la observación porque por lo general siento que no se le da el valor real que merece.   

Este post tiene por objetivo mostrarles que la observación constante es un hábito, es mirar más allá independientemente de la situación que estemos viviendo, más allá del dolor de la situación…   

Si tuviera que hacer un pentest utilizando ingeniería social contra esta clínica, solo debo hacerme pasar por un enfermo que necesita ser atendido por guardia a la hora de la comida (creo que la parte de la luxo fractura no es necesaria para las pruebas XD ), aprovechar los grandes descuidos para comprometer la estación de trabajo de la guardia (para obtener información de los pacientes y supongo que también de los empleados de la clínica) con un pendrive o directamente sentado en el equipo, o utilizar el teléfono de la misma clínica para llamar a algún médico y solicitar determinada información que pueda comprometer a la clínica.

Recuerden que las circunstancias para un ataque de ingeniería social no siempre son las adecuadas para el atacante, pero si tiene malicia, solo debe esperar la oportunidad. Nosotros para defendernos tenemos un camino largo por recorrer, porque todas las personas formamos parte, incluso aquellas que no están “digitalizadas” que no pasan todo su tiempo detrás de una computadora o de un escritorio, y que no entiende de estos riesgos como nosotros.

Para cerrar este post, les comparto que me resulta entre triste e increíble, pensar que estemos hablando sobre Protección de Datos Personales en algunos ambientes y se auditen empresas que tienen datos poco importantes sobre sus clientes, y que no estemos trabajando (obligando) a quienes tienen los datos realmente sensibles, como ser los de salud.

Y por último, un mensaje a mis compañeros de los Cosmic Kites: Traigan la copa a casa!!! Saludos a todos los viajeros a Defcon XX, los voy a extrañar!

Anuncios

9 comentarios to “Observación del dolor”

  1. Excelente post y te deseo una pronta curación, Claudio.

  2. Querido Claudio :
    Lo tuyo es sejuela. Sejuelajuventud …!
    Eso se llama tener “mala pata” … encima la derecha…!
    También, a vos nomás se te ocurre ir al mediodía a una clínica… todos morfando !
    Al respecto, es bueno hacer notar que la foto fue tomada con un IPhone 4, con OS X 10.7.4, a las 11:28:49 del miércoles 18/07/2012, aunque fue descargada el sábado 21/07/2012 a las 12:04:14 con QuickTime 7.7.1, (sin flash, por eso está un poco oscura) … un tiempo de exposición de 1/15 (ISO 160)
    Consejo : Habilitar flash o aumentar el tiempo de exposición… (Iphone 4 tiene flash ??)

    • Hola Flavio! tanto tiempo!!! coincido con vos! creo que el ajedrez será un juego a mi medida 🙂
      Respecto a datos exif falto el de geoposicionamiento que estaba activado pero no se porque no lo marco 🙂 Usamos las imagenes para los cursos para analizar y comparar con el plugin de Firefox, Foca y jhead.
      Por cierto, si tiene flash el iphone 4 🙂

  3. “Soy Español, ¿a qué quieres que te gane?” }XD

    Cuida ese pie, que los social hackers no sabéis qué hacer con tal de no venir a perder }:))

    Saludos Malignos!

  4. Claudio querido! Mas alla que la Defcon no va a ser lo mismo sin vos me resulta admirable que ante una situacion tan jodida tu capacidad de observacion analitica permanezca intacta. Lamento mucho no contar con tu asesoria al momento de atacar las tiendas yanquis, pero mi bolsillo descansa tranquilo. ;P

    De igual manera descanso tranquilo ya que te vas a vengar el anio (noo tengo enie) que viene… 🙂

    Abrazo de gol amigo y a recuperarse y preocuparse por su salud!

  5. Mirá Claudio , no deja de ser cierto lo que comentas en cuanto a la seguridad de esas instituciones , de hecho te podria aportar varias anecdotas de mis guardias nocturnas en esos institutos (por acompañamiento de internados) , pero me llama la atención tu facilidad para dejar de manifiesto la gravedad de tu estado .Hermano estas realmente paranoico .
    Ya que tenes que andar por bastante tiempo visitando mosocomios, por que no aprovechas y te hacer ver de la azotea .
    Descansaaaaaaaaa un pocooooooooo

  6. Excelente relato sobre un episodio lamentable…
    Todo sirve para aprender algo, no?
    Mejor enseñanza aún… La observación constante, como un hábito. Importantísimo para ver las oportunidades… Todas, no sólo las relacionadas a nuestro trabajo.
    Del resto prefiero no opinar… Ya bastante dolor has sufrido!
    Que te mejores pronto!

    PD: TRAIGANLE LA COPA!!!

  7. Clau: te juro que leía y me veía reflejada en tu criminal mind, tremendo lo del pendrive, amén de la posibilidad de manotear blisters con muestras médicas. La doctora esa hizo un Master en Comprensión y Empatía en la cárcel de Guantánamo. Un corte una quebrada y felíz domingo!!


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: