EDICIóN GENERAL
375 meneos
13011 clics
El curioso caso de la Raspberry Pi en el rack de comunicaciones [ENG]

El curioso caso de la Raspberry Pi en el rack de comunicaciones [ENG]

Cómo encontramos, analizamos (con la ayuda de Reddit) y al final cogimos al culpable de poner un dispositivo malicioso en nuestra red.

| etiquetas: raspberry pi , nrf52832-mdk , iot , resin , espionaje
Comentarios destacados:                            
Yo con lo que me quedo leyendo la historia es que el tipo no era tan gifted :troll:

Me ha parecido entretenido y curioso para los 5 minutos que se tarda en leer :-) Aunque nos quedamos con las ganas de saber qué datos loggeaba xD
#1 Eso iba a decir, que está muy bien el proceso de investigación en la raspi, pero te quedas con la curiosidad por saber con qué datos se quedaba.
En esto, como en muchas otras cosas en la vida, te pillan porque "el diablo está en los detalles"
#2 eso seguramente se lo sacará la policía al ex-empleado que dejó alli ese bicho.

Conclusión: desde el momento en que se decide que alguien con acceso a cosas importantes se larga, esa persona debe dejar de tener acceso a nada. Si tiene que llevarse sus cosas, guay, pero con supervision. Luego si no, vienen los problemas.
#6 como si antes no pudiese haber plantado la rasp ahí...
#11 Claro que si, pero eso ya es otro tema, supervisar que hay o que no hay. Pero por lo general, los incidentes con empleados cabreados vienen una vez notificado el despido o cambio o lo que sea, no mientras estan en situación "habitual". Tras el cambio de situación es cuando se dan la mayoría de incidentes.
#16 Si, excepto que si el empleado es algo avispado, el 80% de las veces se nota bastante antes que lo van a despedir (no le asignan tareas, hay mal clima, etc) y actuar en consecuencia, para bien o para mal.
#11 #6
"Final Update:
It really was the ex employee who said he put it there almost a year ago to "help us identifying wifi problems and tracking users in the area around the Managers office". He didn't answer as to why he never told us, as his main argument was to help us with his data and he has still not sent us the data he collected. We handed the case over to the authorities."
#31 Me pregunto a quién le caerá un puro mayor, al ex-empleado que robó datos o a la empresa...
#1 When I googled the username found in the config.json file I found a person in the same town where this Pi was found.

:palm: muy listo no era, no xD
#3 pues el que puso la manazas sobre una prueba de un delito y se puso a investigar por su cuenta tampoco es que haya actuado de forma inteligente la verdad
#35 En EEUU no se ha perdido tanto; en España básicamente habrías roto la cadena de custodia y la prueba no serviría para nada.

Ahora, muy rápido se ha rendido teniendo en cuenta que todos los datos que usan para incriminarlo son circunstanciales y obtenibles "en las dos direcciones": yo puedo encontrar la web de los fenómenos estos, elegir a alguien al azar, coger su nick, acercarme a su dirección, apuntar SSID y BSSID del ruter de su casa (datos publicos), configurar un portátil como ruter con esos dos datos, crearme esa cuenta desde una conexión anónima o desde un café en la ciudad... al final tendría un aparato funcionando, con un hilo de pruebas falso apuntando a un inocente.
#51 que yo sepa no se ha rendido. De todas formas los jueces trabajan con pruebas e indicios, si la versión de la policía resulta más creíble que la tuya con los ssid date por jodido.
#55 En EEUU existe una cosa llamada "duda razonable". ¿Como demuestra la policía que tu antiguo jefe no te quiere meter en un marrón, porque patatas? ¿O un antiguo compañero? Esa Raspberry la pudo poner en ese armario cualquiera con acceso al armario, y en EEUU la policía no tiene presunción de veracidad como en España, tienen que tener pruebas solidas. Por eso tantos casos en los que "aparecen las pruebas" y tal...
#82 presunción de veracidad administrativamente... penalmente, como cualquier testigo.
#82 te doy un +100
#51 Tengo curiosidad sobre la "cadena de custodia" en España. Habiendo sacado una imagen de la SD y probablemente investigado sobre esa imagen y no sobre la SD real, ¿tambien rompió la cadena de custodia?
#67 ¿Tocaron el aparato para sacar la tarjeta? ¿Sacaron la tarjeta del aparato?
Si la respuesta a alguna de esas preguntas es "si", ya está liada.
#67 no. En peritaje judicial se hace eso, imágenes ante notario o juez con sus firmas digitales del proceso, una copia para juez, otras para abogados y fiscal y para el perito, nunca se toca la original y siempre se usan imágenes del original para no romper la cadena de custodia.
#83 Las palabras claves son "ante notario o juez" y "perito". Si yo, trabajador de esa empresa, digo que esto que tengo aquí es la tarjeta SD de la raspi, punto 1, no tengo manera de demostrarlo, punto 2, no tengo manera de demostrar que no he cambiado nada.

En España habría que llamar a la policía y que un policía de la brigada de delitos informáticos haga esa imagen, porque el agente si tiene presunción de veracidad; tu, no. Esa seria la manera mas fácil, la alternativa seria tirar de peritos de seguros, peritos independientes, etc. Un currito de la empresa no debería ni tocarlo.
#84 esta claro que el tema de la custodia es importante y el disco o dispositivo original NUNCA sale del juzgado o donde este depositado, una vez tienes la copia con su huella del clonado puedes hacer otras y trabajar con ellas y no tocar la imagen que se certifico en la clonacion, y todo ha de estar documentado. En España en esto se es muy cuidadoso, yo he vivido varios temas periciales (no soy perito pero una persona que conozco si) y cualquier error en la cadena de custodia o que no se siga el protocolo adios a las pruebas, los abogados en estos temas son muy muy estrictos y ante cualquier duda adios a la prueba.
#51 No es tan fácil, en tu empresa ves algo raro y primero tienes que averiguar si es algo intencionado o realmente es un delito, que ya lo decide la justicia.
Nosotros hemos tenido bastante intentos de fuga de datos, detectados por los departamentos de IT y lo primero es determinar si ha sido algo intencionado o algún error (por ejemplo se detecta que se manda una historia de un paciente en PDF)
#35 Bueno, tan mal no creo que lo haya hecho:

"Le pedí que lo desconectara, lo guardara en un lugar seguro, tomara fotos de todas las partes y hiciera una imagen desde la tarjeta SD (ya que la mayoría de las veces trabajo a distancia). He trabajado en muchos proyectos de Raspberry Pi y me sentí seguro de que podría descubrir qué hace."

Solo veo un poco discutible el que yo hubiera pedido que hicieran una copia de la SD y trabajaría con la copia ya que el original estaría disponible para rastrear posibles archivos borrados.
#97 En España todo eso es suficiente para que la prueba no sea válida o al menos que se ponga en duda. Como mucho desconectarla por seguridad.
#1 Se supone que gifted era su hijo/a, debería haber dejado en manos de él la chapuza esta.
#1 Quizás Villarejo sepa algo :-D
Esto ya salía en Mr Robot
#10 Nada, solo comentarlo. Y de paso decir que es la única serie/película sobre hackers que no da vergüenza ajena a los informáticos porque, sin perder de vista que es ficción, se ven métodos de hacking y herramientas más o menos reales. Nada que ver con el cerebrito que se pone a aporrear el teclado y entra en los servidores del FBI en 30 segundos con una interfaz gráfica supermolona
#13 Nada como romper la seguridad de un sistema en 60 segundos mientras una rubia te la chupa: youtu.be/zfy5dFhw3ik
#13 o el playboy tipo Hugh Jackman que entra en los servidores de la NSA o lo qeu sea en 1 minuto aporreando teclas sin mirar mientras la Halle Berry le pone to palote.. xD xD
#4 Aunque en Mr Robot lo que hacían era controlar el sistema de calefacción/aire con la raspi
#27 Cosas más serias se han visto en la práctica, como hackear la máquina del café de la oficina para que empiece a hacer un café a partir de una órden desde un laptop para que esté hecho al llegar allí.
#50 Deberíais plantearos empezar una filosofía de estas slow life: "Esperar que se haga el café no es perder el tiempo"
#50 Que buen invento para trabajar más, de genios.
#27 Spoiler alert!!! Aunque ya tiene un tiempo ese capítulo.
#65 Eh eh, #4 empezó, si alguien lee #4 y sigue leyendo las respuestas ya no es spoiler es masoquismo
#93 Tiene rasón er nota.
#96 mis diesels en forma de positivo
Espionaje low cost. Por menos de 100 pavos eso es una brecha en la seguridad de la empresa de cuidado.
#5 Ya ha salido por aquí varias veces como atacaban redes de los bancos para robar dinero dejando routers dentro de la red del banco para hacer sus maldades.
#5 Y si llega a meterlo en una caja más bien sosa igual ni la ven.
Me contaron (no puedo dar detalles precisos) de un individuo que curraba en un centro oficial a cargo de la gestión de sistemas (junto al colega que me lo contó) y que como todo estaba blindado con cortafuegos por seguridad (sistemas muy críticos), el sujeto había colocado un equipo dentro del cortafuegos que recibía datos por wifi de otro equipo que estaba fuera del cortafuegos, puenteando la seguridad, y lo usaba para bajarse pelis. Le pillaron y se llevó la bronca del milenio, pero al parecer no le echaron.
#7 Hace un tiempo vi un post sobre como unos "comerciales" regalaban usb o un marco digital a los directores. Y chocapic brecha que te cagas
#12 Eso sale en un episodio de Mr Robot, los pendrives tirados a la entrada de la comisaria de policia... la gente no es consciente de que enchufar un USB es como follar a pelo, es un problema serio la verdad.
#53 Es un problema en Windows. No es igual en todos los sistemas operativos.
#7 Supongo que eso ocurriría hace muchos años, en la actualidad con lo que cuesta una linea de banda ancha es una tonteria montarse todo ese tinglado y jugarse el puesto solo para bajarse películas.
#15 en efecto, es de hace tiempo
#15 Te sorprendería lo inconsciente que es la peña y las burradas que son capaces de hacer solo por saltarse el proxy de la empresa y navegar sin restricciones. Y eso que gente que curra de ello, que deberían ser los primeros en poner la seguridad por delante. Los problemas surgen cuando un grupo considera que la red es suya y se la folla cuando quiera, olvidando que la red no es suya sino de la empresa.
#36 En una empresa en la que estuve me restringieron el acceso a internet. Capullos.

Encontré tres formas diferentes de saltarmelo. Las tres probadas y funcionando. Escogí una para uso habitual.
#56 Hombre... una cosa es que encuentres un resquicio (o 3 :-P ) para saltártelo, y otra muy distinta que seas un tío de redes y fabriques un agujero de seguridad a propósito para ello.
#56 Los hay tremendamente cutres. Hace muchos años en una empresa (banco) tenia un filtrado a nivel host, por lo que me hice un proxy que resolviese el host por una via alternativa y lo sustituyese en las solicitudes HTTP.
#68 El que más gracia me hizo fué uno que lanzaba requests http con los datos codificados en texto dentro de los requests.
#68 lo del filtrado a nivel de host te refieres a filtrar su MAC ?, explica un poco más la técnica porfi
#68 eo, en #116 te he hecho una pregunta
#56 Psch vaya merito, desde que metieron el tethering en los móviles el que no se baja porno en la oficina es porque no quiere...
#15 Yo me he encontrado en los backups y en los servidores de una empresa capítulos de Juego de Tronos. Y ya había conexiones baratas caseras.
#7 No sé, no lo veo. ¿Un equipo al que hay que estar cerca para conectarse por una wifi que nadie parece ver? ¿Un cortafuegos que no filtra torrents? No veo ningún mérito, sólo el demérito de una configuración de seguridad básica.
#19 si el encargado de "ver" las wifis es el que ha montado el tinglado, puede ser que nadie las "vea", pero como decía antes, es de hace tiempo, cuando la banda ancha no estaba implantada masivamente ni era tan accesible como lo es hoy
#19 Sabes que por norma general las wifis se pueden configurar para que no transmitan beacons con el ssid por lo que a menos que haya alguien conectado y tu estés sniffando ni te enteras de que haya una wifi, ¿verdad?
#25 Por el fichero de configuración que he visto en la notícia, este caso.

Sí que se pueden ver, con el hardware adecuado, que no pasa de ser un dongle usb barato.
#25 y sabrás, también tú, que puedes detectar muy fácilmente que ahí hay una wifi oculta ¿verdad?
Un ejemplo entre muchos: www.google.com/amp/s/www.acrylicwifi.com/blog/ssid-wifi-oculto-como-sa
#61 Es exactamente lo que he dicho, has de sniffar tráfico. Si no hay nadie conectado, no vas ver nada.
#64 vas a ver qué hay una red wifi que oculta su nombre. Aunque no sepas su nombre hasta que alguien se conecte, la estarás detectando perfectamente.
#7 Yo sé de un caso de una empresa de telecomunicaciones española que ya no existe como tal. Lo cuento porque de esto hace diez años.

Los perpetradores fueron los administradores de la red. Del ancho de banda disponble para dar servicio, los tios se reservaron 4Gbit/s para ellos y montaron un "box" linux para uso de un grupo de "file transfer".

Estuvieron un par de años así hasta ser descubiertos.
Mención especial a reddit y sus miembros. Prueba de que esta herramienta de colaboración que es internet funciona si se le da un buen uso.
Me gustaría ponerlo en mi anterior comentario, pero no puedo editar ya.
#8 es lo único que no se puede clonar de reddit, el buen rollo constructivo.

Cof Cof meneame cof cof...
#49 Eso lo han de aportar los usuarios.

Cof Cof @Español cof cof
#72 y moderadores que no se andan con chiquitas. Hay unas reglas, incumple y se te borra el comentario. No es raro entrar en alguna publicación y encontrarte la mitad de comentarios vacios por que empezaron con alguna discusión fuera de tema.
#74 Sí, en Reddit los comentarios están muy bien moderados por los propios usuarios y los hilos por defecto.

En Menéame se premia al que puso el comentario primero.
#74 También te encuentras cosas como subs que te banean por participar en otros subs :roll:.
#8 Bueno, en otra ocasión "colaboraron" para encontrar al culpable de un atentado, y acabó muriendo un chaval que era inocente. No siempre sale todo tan bien.
#86 Ostias, no recuerdo eso ... o_o
Cuando tenga un rato lo busco
#88 Fue cuando el atentado de la maratón de Boston, que a partir de las fotos y cuatro historias más, en Reddit tenían clarísimo quiénes eran los terroristas suicidas... y uno resultó que era un chaval que se había suicidado una semana antes, y el otro era un pobre estudiante que por culpa de esto estuvo recibiendo amenazas de muerte durante semanas.
#88 En r/TheoryOfReddit hubo un hilo con una cronología bastante detallada de fueron sucediendo las cosas, y la conclusión fue que Reddit de alguna manera 'obligo' al FBI a revelar quienes eran sus sospechosos (que ya les tenían en el punto de mira mucho antes que en Reddit) para que parasen, vamos que perjudicaron la investigación y lejos de aportar, le jodieron la vida a unas cuantas familias.
Aficionados.
Modchips of the State. Hardware implants in the supply-chain
media.ccc.de/v/35c3-9597-modchips_of_the_state
#14 eso si que da miedito....
#26 La ostia p*ta :-/ :tinfoil:
Debe ser la nueva generación de hackers,
programa hacker hecho en java donde ponen todos sus datos personales en fichero json.
Como ha cambiado el cuento desde que cerró phrack.
#24 Peor. Es javascript.
#28 Ofuscado, además.
Ahora se hace así, se hace un script ramplón y luego se convierte en jerigonza. Seguridad mediante oscuridad. Ya ni los geeks se molestan en abordar complejidades.
#33 Es algo que yo no he entendido, porque eso seguridad realmente no da, solo te hace dedicar un poco mas de tiempo en conocer el funcionamiento. Y eso asumiendo que quieras conocer el funcionamiento al completo. A lo mejor la parte que te interesa es muy concreta y vas directamente desde la localizacion de un boton o string. En cuanto llegues a las llamadas al API que no se pueden ofuscar se vera todo.

Por ejemplo la gran mayoría de ofuscaciones en Java con proguard me dan la risa. Porque…   » ver todo el comentario
#33 El javascript viene ya ofuscado de serie :troll:
#28 Pues si te fijas, el autor aclara que a día de hoy sigue sin saber exactamente que hace ese código. Tan mala idea no fue.. ;)
¿A Google no le metieron un puro por recopilar nombres de Wifis y ni siquiera las usó de forma publica? ¿Con la RGPD Wigle no es ilegal en Europa?
#29 El puro lo meterían por recopilarlos con la excusa de una claúsula oculta en alguna licencia de algo que no tenía que ver y aprovecharse de los usuarios.
Mozilla tiene un servicio totalmente voluntario en el que te bajas una aplicación para rastrear redes según vas con el GPS y así cederles los datos de los SSID para ayudar a la geocalización. De forma totalmente voluntaria y consciente. Y luego esos datos NO son públicos por cuestiones legales, pero puedes acceder a la geolocalización mediante una API en cualquier momento.
location.services.mozilla.com/
#29 Me parece recordar que el "problema" que tuvo Google es que además de los SSIDs capturó aleatoriamente el tráfico de red de esas redes al pasar cerca, y por ahí venía el problema (es un tráfico privado). Sin embargo el nombre que una red anuncia públicamente creo que sí se puede recopilar.
#40 era ilegal y tuvo una multa irrisoria antes de la RGPD, porque con android asociaban SSIDs a dispositivos, buscaban unidades familiares, cruzaban usuarios en multidispositivo, y geolocalizaban sin GPS.
#43 La multa fue la máxima que permite la ley. Otra cosa es que la ley debiera quizá tener en cuenta el tamaño de la empresa para adecuar las cuantías.
#43 Geolocalizar sin GPS es el objetivo, y funciona, cada vez mejor.
#40 el tráfico? hasta las de wpa2? Ya sé que hay vulnerabilidades, pero para crackearlas y leer el tráfico de todas las cercanas, el coche de google tendría que ir a más o menos 10km AL SIGLO. El problema fue que alguna ley por ahi decia que el ssid es tambien dato personla, pero no lo es. Ahora ya los recopila sin problema, por eso la ubicacion de android tiene el modo "ahorro de bateria" que no usa gps sino gsm y wifi, gracias esto último a las redes recopiladas. Y en España funciona, así que siguen recopilando.
#45 No claro, Google no se dedicó a descifrar nada, simplemente capturaba el tráfico que pillaba, fuera inteligible o no, para procesar luego y extraer los SSIDs. De todas formas hablo de memoria, eso fue hace años, cuando aún había bastantes wifis en abierto.
#40 Serán datos privados, pero lo único que hicieron fué registrar lo que otros emitían omnidireccionalmente sin más.
Pero que mierda es esto, noticia reciclada de hace 3 meses si no más.
make an image from the SD card

Tienes que tener cuidado a quien le pides esto. Me juego el cuello que más de uno le saca una foto a la SD y se la manda.

My debian box told me the first big clue

Esto refuerza mi teoría que los que usan Debian son como les veganos, no pueden aguantar la tentación de decirte que usan Debian en cualquier momento, venga a cuento o no.
#37 Es que no pueden decir linux porque insisten en que linux es solo el kernel. Tampoco pueden decir gnu/linux porque es incómodo y a demás no dan el mérito que merece a la distribución que lo engloba todo. Tendrían que decir debian gnu/linux pero es demasiado largo, deberían usar una sola palabra pero "está prohibido" decir sólo "linux" así que dicen debian.
#41 En principio da un poco igual, no le ha quedado mal escrito, pero sería más relevante decir el software que ha utilizado (por la foto tiene pinta de ser el gestor de ficheros, que me figuro que será nautilus si no lo han cambiado).

Simplemente me ha parecido curioso porque es algo que noto en debianitas de vez en cuando.

#42 Creo que la foto de GParted dejaba eso ya claro.
#62 Yo, por ejemplo, en mis linux (que son normalmente Debian :troll:) no uso gnome y no uso Nautilus, sino Thunar.
#41 Mejor comentario que he leido en esta noticia.
#37 Con eso te está diciendo que ha abierto la imagen en un linux para mayor seguridad (por motivos evidentes y por chrootearla si quiere) y por facilidad para leer los ficheros en ext4. Y porque no todas las distros son iguales y mucho menos para currar.
#37 Eso de mandar la foto me recuerda a aquellos tiempos en los que se contaba esta anécdota:

- Encienda el sistema.

- Hecho.

- Arranque el disco duro.

Crashhhhh.

- Hecho...
#37 Mira si lo tendre filtrado que habia leido Suse
Lo vi hace tiempo en reddit, fue divertido.
Claramente el "hacker" no fue tan listo. Lo que debería haber hecho, además de no usar su `username`, y mil cosas más, es hacer su tarjeta SD irremovible (ya que no se puede encriptar en la Raspberry).

Para lograr esto, bien podría haber usado Epoxy, o Resina: www.google.com/search?q=epoxy+raspberry+sd&source=lnms&tbm=isc

O podría hacer usado pegamento de toda la vida.  media
#47 Claramente no contaba con ser descubierto, pues era un dispositivo de usar y recuperar, no de abandonar.

Una chapuza, desde luego.
#47 Leñe, es hasta bonito! me has dado alguna idea xD,
#76 No solo es bonito, es absolutamente estanco y sumergible. Pero bueno, en el peor de los casos tendrás un precioso pisapapeles. :-P

#95 Creo que al contrario, ganas superficie de disipación de calor, aunque no estoy seguro.
#109 La intuición me dice que como norma general los sólidos tienen mejor índice de conductividad térmica que el aire, por lo que el bloque de epoxi debería de disipar el calor mejor que el volumen de aire equivalente... Pero llevo un rato buscando información sobre el índice de conductividad térmica de la resina epoxi transparente sólida y no encuentro nada concreto.

Hay un par de artículos donde dice que el coeficiente de la resina epoxi estaría entre 0,1 y 0,27 W/(m·K), efectivamente algo…   » ver todo el comentario
#47, uhm, ¿eso no debe calentarse bastante?
#47 No se de donde sacas que no se puede cifrar la tarjeta SD en una Raspi (o cualquier dispositivo headless). El truco está en usar un servidor SSH que corre desde initrd (Dropbear concretamente), y hacer login ahí para posteriormente meter la clave del LUKS. Cómodo no será, pero seguro es un rato largo.
«12
comentarios cerrados

menéame