Espionaje low cost. Por menos de 100 pavos eso es una brecha en la seguridad de la empresa de cuidado.

Esto ya salía en Mr Robot

#7 Supongo que eso ocurriría hace muchos años, en la actualidad con lo que cuesta una linea de banda ancha es una tonteria montarse todo ese tinglado y jugarse el puesto solo para bajarse películas.

#15 en efecto, es de hace tiempo

#12 Putin intentó algo así
https://www.infobae.com/2013/10/29/1519878-putin-entrego-pendrives-virus-los-miembros-del-g-20/

#33 El javascript viene ya ofuscado de serie

#12 Eso sale en un episodio de Mr Robot, los pendrives tirados a la entrada de la comisaria de policia... la gente no es consciente de que enchufar un USB es como follar a pelo, es un problema serio la verdad.

Mención especial a reddit y sus miembros. Prueba de que esta herramienta de colaboración que es internet funciona si se le da un buen uso.
Me gustaría ponerlo en mi anterior comentario, pero no puedo editar ya.

#11 Claro que si, pero eso ya es otro tema, supervisar que hay o que no hay. Pero por lo general, los incidentes con empleados cabreados vienen una vez notificado el despido o cambio o lo que sea, no mientras estan en situación "habitual". Tras el cambio de situación es cuando se dan la mayoría de incidentes.

#53 Es un problema en Windows. No es igual en todos los sistemas operativos.

#5 Ya ha salido por aquí varias veces como atacaban redes de los bancos para robar dinero dejando routers dentro de la red del banco para hacer sus maldades.

#7 Yo sé de un caso de una empresa de telecomunicaciones española que ya no existe como tal. Lo cuento porque de esto hace diez años.

Los perpetradores fueron los administradores de la red. Del ancho de banda disponble para dar servicio, los tios se reservaron 4Gbit/s para ellos y montaron un "box" linux para uso de un grupo de "file transfer".

Estuvieron un par de años así hasta ser descubiertos.

Claramente el "hacker" no fue tan listo. Lo que debería haber hecho, además de no usar su `username`, y mil cosas más, es hacer su tarjeta SD irremovible (ya que no se puede encriptar en la Raspberry).

Para lograr esto, bien podría haber usado Epoxy, o Resina: https://www.google.com/search?q=epoxy+raspberry+sd&source=lnms&tbm=isch&sa=X&ved=&biw=1360&bih=560

O podría hacer usado pegamento de toda la vida.

#112, pero te olvidas de una cosa, el aire se mueve y en un principio al calentarse el aire este se movería (subiría) e iría sustituyéndose por aire frío. Teniendo en cuenta esto sigo sin tenerlo claro.

Lo de disipador con superficie lisa a ras, bueno, que no sea lisa para tener un mayor área (como pasa en los disipadores) sería también buena idea.

#4 ¿Y?

#15 Te sorprendería lo inconsciente que es la peña y las burradas que son capaces de hacer solo por saltarse el proxy de la empresa y navegar sin restricciones. Y eso que gente que curra de ello, que deberían ser los primeros en poner la seguridad por delante. Los problemas surgen cuando un grupo considera que la red es suya y se la folla cuando quiera, olvidando que la red no es suya sino de la empresa.

#35 En EEUU no se ha perdido tanto; en España básicamente habrías roto la cadena de custodia y la prueba no serviría para nada.

Ahora, muy rápido se ha rendido teniendo en cuenta que todos los datos que usan para incriminarlo son circunstanciales y obtenibles "en las dos direcciones": yo puedo encontrar la web de los fenómenos estos, elegir a alguien al azar, coger su nick, acercarme a su dirección, apuntar SSID y BSSID del ruter de su casa (datos publicos), configurar un portátil como ruter con esos dos datos, crearme esa cuenta desde una conexión anónima o desde un café en la ciudad... al final tendría un aparato funcionando, con un hilo de pruebas falso apuntando a un inocente.

#108, eso será si el bloque transmite el calor mejor que el aire.

#37 Eso de mandar la foto me recuerda a aquellos tiempos en los que se contaba esta anécdota:

- Encienda el sistema.

- Hecho.

- Arranque el disco duro.

Crashhhhh.

- Hecho...

#67 no. En peritaje judicial se hace eso, imágenes ante notario o juez con sus firmas digitales del proceso, una copia para juez, otras para abogados y fiscal y para el perito, nunca se toca la original y siempre se usan imágenes del original para no romper la cadena de custodia.

#4 Aunque en Mr Robot lo que hacían era controlar el sistema de calefacción/aire con la raspi

#83 Las palabras claves son "ante notario o juez" y "perito". Si yo, trabajador de esa empresa, digo que esto que tengo aquí es la tarjeta SD de la raspi, punto 1, no tengo manera de demostrarlo, punto 2, no tengo manera de demostrar que no he cambiado nada.

En España habría que llamar a la policía y que un policía de la brigada de delitos informáticos haga esa imagen, porque el agente si tiene presunción de veracidad; tu, no. Esa seria la manera mas fácil, la alternativa seria tirar de peritos de seguros, peritos independientes, etc. Un currito de la empresa no debería ni tocarlo.

#93 Tiene rasón er nota.

#96 mis diesels en forma de positivo

#6 como si antes no pudiese haber plantado la rasp ahí...

#50 Deberíais plantearos empezar una filosofía de estas slow life: "Esperar que se haga el café no es perder el tiempo"

#55 En EEUU existe una cosa llamada "duda razonable". ¿Como demuestra la policía que tu antiguo jefe no te quiere meter en un marrón, porque patatas? ¿O un antiguo compañero? Esa Raspberry la pudo poner en ese armario cualquiera con acceso al armario, y en EEUU la policía no tiene presunción de veracidad como en España, tienen que tener pruebas solidas. Por eso tantos casos en los que "aparecen las pruebas" y tal...

#29 Me parece recordar que el "problema" que tuvo Google es que además de los SSIDs capturó aleatoriamente el tráfico de red de esas redes al pasar cerca, y por ahí venía el problema (es un tráfico privado). Sin embargo el nombre que una red anuncia públicamente creo que sí se puede recopilar.

#43 La multa fue la máxima que permite la ley. Otra cosa es que la ley debiera quizá tener en cuenta el tamaño de la empresa para adecuar las cuantías.

#50 Que buen invento para trabajar más, de genios.

#45 No claro, Google no se dedicó a descifrar nada, simplemente capturaba el tráfico que pillaba, fuera inteligible o no, para procesar luego y extraer los SSIDs. De todas formas hablo de memoria, eso fue hace años, cuando aún había bastantes wifis en abierto.

#74 Sí, en Reddit los comentarios están muy bien moderados por los propios usuarios y los hilos por defecto.

En Menéame se premia al que puso el comentario primero.

#47 No se de donde sacas que no se puede cifrar la tarjeta SD en una Raspi (o cualquier dispositivo headless). El truco está en usar un servidor SSH que corre desde initrd (Dropbear concretamente), y hacer login ahí para posteriormente meter la clave del LUKS. Cómodo no será, pero seguro es un rato largo.

#15 Yo me he encontrado en los backups y en los servidores de una empresa capítulos de Juego de Tronos. Y ya había conexiones baratas caseras.

#1 Se supone que gifted era su hijo/a, debería haber dejado en manos de él la chapuza esta.

#29 El puro lo meterían por recopilarlos con la excusa de una claúsula oculta en alguna licencia de algo que no tenía que ver y aprovecharse de los usuarios.
Mozilla tiene un servicio totalmente voluntario en el que te bajas una aplicación para rastrear redes según vas con el GPS y así cederles los datos de los SSID para ayudar a la geocalización. De forma totalmente voluntaria y consciente. Y luego esos datos NO son públicos por cuestiones legales, pero puedes acceder a la geolocalización mediante una API en cualquier momento.
https://location.services.mozilla.com/

#40 el tráfico? hasta las de wpa2? Ya sé que hay vulnerabilidades, pero para crackearlas y leer el tráfico de todas las cercanas, el coche de google tendría que ir a más o menos 10km AL SIGLO. El problema fue que alguna ley por ahi decia que el ssid es tambien dato personla, pero no lo es. Ahora ya los recopila sin problema, por eso la ubicacion de android tiene el modo "ahorro de bateria" que no usa gps sino gsm y wifi, gracias esto último a las redes recopiladas. Y en España funciona, así que siguen recopilando.

#47 Leñe, es hasta bonito! me has dado alguna idea ,

#108 Precisamente, hago joyas con epoxi como hobby (es un buen regalo) y se me ha ocurrido con eso meter dentro algun chip en plan fosil o algo .

#110 Por mis manos pasan muchos cacharros electrónicos, a veces averiados. Si te mueves por Madrid te puedo pasar placas, chips y cosillas así para tus cosillas. Y en cualquier caso si haces algo con resina epoxi y microchips pon fotos por el Nótame...

#7 No sé, no lo veo. ¿Un equipo al que hay que estar cerca para conectarse por una wifi que nadie parece ver? ¿Un cortafuegos que no filtra torrents? No veo ningún mérito, sólo el demérito de una configuración de seguridad básica.

#25 y sabrás, también tú, que puedes detectar muy fácilmente que ahí hay una wifi oculta ¿verdad?
Un ejemplo entre muchos: https://www.google.com/amp/s/www.acrylicwifi.com/blog/ssid-wifi-oculto-como-saber-nombre-una-red-sin-ssid/amp/

#72 y moderadores que no se andan con chiquitas. Hay unas reglas, incumple y se te borra el comentario. No es raro entrar en alguna publicación y encontrarte la mitad de comentarios vacios por que empezaron con alguna discusión fuera de tema.

#47, uhm, ¿eso no debe calentarse bastante?

#5 Y si llega a meterlo en una caja más bien sosa igual ni la ven.

#27 Cosas más serias se han visto en la práctica, como hackear la máquina del café de la oficina para que empiece a hacer un café a partir de una órden desde un laptop para que esté hecho al llegar allí.

#43 Geolocalizar sin GPS es el objetivo, y funciona, cada vez mejor.

#68 El que más gracia me hizo fué uno que lanzaba requests http con los datos codificados en texto dentro de los requests.

#88 En r/TheoryOfReddit hubo un hilo con una cronología bastante detallada de fueron sucediendo las cosas, y la conclusión fue que Reddit de alguna manera 'obligo' al FBI a revelar quienes eran sus sospechosos (que ya les tenían en el punto de mira mucho antes que en Reddit) para que parasen, vamos que perjudicaron la investigación y lejos de aportar, le jodieron la vida a unas cuantas familias.

¿A Google no le metieron un puro por recopilar nombres de Wifis y ni siquiera las usó de forma publica? ¿Con la RGPD Wigle no es ilegal en Europa?

#8 es lo único que no se puede clonar de reddit, el buen rollo constructivo.

Cof Cof meneame cof cof...

#49 Eso lo han de aportar los usuarios.

Cof Cof@Español cof cof

#67 ¿Tocaron el aparato para sacar la tarjeta? ¿Sacaron la tarjeta del aparato?
Si la respuesta a alguna de esas preguntas es "si", ya está liada.

#12 Para más señas https://www.redeszone.net/2018/03/17/rubber-ducky-usb-atacar-ordenador/

#82 presunción de veracidad administrativamente... penalmente, como cualquier testigo.

#51 No es tan fácil, en tu empresa ves algo raro y primero tienes que averiguar si es algo intencionado o realmente es un delito, que ya lo decide la justicia.
Nosotros hemos tenido bastante intentos de fuga de datos, detectados por los departamentos de IT y lo primero es determinar si ha sido algo intencionado o algún error (por ejemplo se detecta que se manda una historia de un paciente en PDF)

#97 En España todo eso es suficiente para que la prueba no sea válida o al menos que se ponga en duda. Como mucho desconectarla por seguridad.

#19 si el encargado de "ver" las wifis es el que ha montado el tinglado, puede ser que nadie las "vea", pero como decía antes, es de hace tiempo, cuando la banda ancha no estaba implantada masivamente ni era tan accesible como lo es hoy

#27 Spoiler alert!!! Aunque ya tiene un tiempo ese capítulo.

#65 Eh eh, #4 empezó, si alguien lee #4 y sigue leyendo las respuestas ya no es spoiler es masoquismo

#47 Claramente no contaba con ser descubierto, pues era un dispositivo de usar y recuperar, no de abandonar.

Una chapuza, desde luego.

#13 o el playboy tipo Hugh Jackman que entra en los servidores de la NSA o lo qeu sea en 1 minuto aporreando teclas sin mirar mientras la Halle Berry le pone to palote..

#1 Quizás Villarejo sepa algo

#74 También te encuentras cosas como subs que te banean por participar en otros subs .

#35 Bueno, tan mal no creo que lo haya hecho:

"Le pedí que lo desconectara, lo guardara en un lugar seguro, tomara fotos de todas las partes y hiciera una imagen desde la tarjeta SD (ya que la mayoría de las veces trabajo a distancia). He trabajado en muchos proyectos de Raspberry Pi y me sentí seguro de que podría descubrir qué hace."

Solo veo un poco discutible el que yo hubiera pedido que hicieran una copia de la SD y trabajaría con la copia ya que el original estaría disponible para rastrear posibles archivos borrados.

#1 Eso iba a decir, que está muy bien el proceso de investigación en la raspi, pero te quedas con la curiosidad por saber con qué datos se quedaba.
En esto, como en muchas otras cosas en la vida, te pillan porque "el diablo está en los detalles"

#28 Pues si te fijas, el autor aclara que a día de hoy sigue sin saber exactamente que hace ese código. Tan mala idea no fue..

#76 No solo es bonito, es absolutamente estanco y sumergible. Pero bueno, en el peor de los casos tendrás un precioso pisapapeles.

#95 Creo que al contrario, ganas superficie de disipación de calor, aunque no estoy seguro.

#109 La intuición me dice que como norma general los sólidos tienen mejor índice de conductividad térmica que el aire, por lo que el bloque de epoxi debería de disipar el calor mejor que el volumen de aire equivalente... Pero llevo un rato buscando información sobre el índice de conductividad térmica de la resina epoxi transparente sólida y no encuentro nada concreto.

Hay un par de artículos donde dice que el coeficiente de la resina epoxi estaría entre 0,1 y 0,27 W/(m·K), efectivamente algo mejor que los 0,024 del aire pero lejísimos de los 209,31 del aluminio o los 372,1-385,21 del cobre.

Se me ocurre que para una aplicación práctica podría ser buena idea poner un bloque metálico como disipador de tal forma que quedara una superficie lisa al ras de la superficie de resina pero expuesta, no sé si me explico. Pero vamos, para aplicaciones de IoT en entornos expuestos a los elementos puede ser una buena idea de relativamente bajo coste.

Fuentes:
https://es.wikipedia.org/wiki/Coeficiente_de_conductividad_t%C3%A9rmica
https://arxiv.org/ftp/arxiv/papers/1801/1801.04391.pdf

CC #76 #47

#14 eso si que da miedito....

#28 Ofuscado, además.
Ahora se hace así, se hace un script ramplón y luego se convierte en jerigonza. Seguridad mediante oscuridad. Ya ni los geeks se molestan en abordar complejidades.

#56 Hombre... una cosa es que encuentres un resquicio (o 3 ) para saltártelo, y otra muy distinta que seas un tío de redes y fabriques un agujero de seguridad a propósito para ello.

Lo vi hace tiempo en reddit, fue divertido.

#40 era ilegal y tuvo una multa irrisoria antes de la RGPD, porque con android asociaban SSIDs a dispositivos, buscaban unidades familiares, cruzaban usuarios en multidispositivo, y geolocalizaban sin GPS.

#51 Tengo curiosidad sobre la "cadena de custodia" en España. Habiendo sacado una imagen de la SD y probablemente investigado sobre esa imagen y no sobre la SD real, ¿tambien rompió la cadena de custodia?

#31 Me pregunto a quién le caerá un puro mayor, al ex-empleado que robó datos o a la empresa...

#37 Mira si lo tendre filtrado que habia leido Suse

#84 esta claro que el tema de la custodia es importante y el disco o dispositivo original NUNCA sale del juzgado o donde este depositado, una vez tienes la copia con su huella del clonado puedes hacer otras y trabajar con ellas y no tocar la imagen que se certifico en la clonacion, y todo ha de estar documentado. En España en esto se es muy cuidadoso, yo he vivido varios temas periciales (no soy perito pero una persona que conozco si) y cualquier error en la cadena de custodia o que no se siga el protocolo adios a las pruebas, los abogados en estos temas son muy muy estrictos y ante cualquier duda adios a la prueba.