Tots som Rivera i alguns som el hacker

Divendres passat Albert Rivera va denunciar a la Guàrdia Civil que algú li havia hackejat el seu compte de Whatsapp. Quan l’assumpte es va fer públic i Twitter n’anava ple, de seguida vaig pensar que era la típica excusa que es fa servir quan n’has fet una de grossa a la xarxa; allò de “m’han hackejat el compte durant unes hores i no era jo”. Però no, li van hackejar de veritat amb un atac de pesca de credencials (phishing), un atac que és de primer d’informàtica i això m’ha deixat profundament torbat.

"Divendres passat Albert Rivera va denunciar a la Guàrdia Civil que algú li havia hackejat el seu compte de Whatsapp"

Dic que és de primer d’informàtica perquè un servidor quan el cursava a la UAB als anys 80 ja en feia i en rebia. En aquells temps de preordinador personal, l’Autònoma funcionava amb un ordinador centralitzat —un VAX de DEC ubicat al centre de càlcul— al qual s’hi accedia des de terminals distribuïts per totes les facultats. És el que es coneixia com un ordinador de temps compartit; servia moltes usuàries alhora, cadascuna al seu terminal. Tot i que l’ordinador central atenia una usuària després de l’altra, com que ho feia de manera molt ràpida i a bocins, ho feia tan de pressa que cada usuària creia que l’ordinador només treballava per a ella. Com que els recursos eren limitats, cada dos alumnes teníem mitja hora al dia d’ordinador (què, com us heu quedat?). Mitja hora potser era suficient per fer els exercicis d’informàtica però no per jugar a l’Snake, al Qix i per ficar el nas a tots els discos durs del centre de càlcul.

El cas és que si volies més hores te les havia de cedir conscient o inconscientment algú que no les necessités tant com tu. I aquí és on entra la pesca de credencials. Quan acabava la nostra mitja hora el que fèiem era deixar el terminal amb la pantalla d’inici perquè l’usuària següent introduís el seu nom i clau, clau que indefectiblement errava veient-se obligada a repetir l’operació si volia entrar.

El que passava realment és que la pantalla on introduïa les seves credencials no era la d’inici de sessió sinó un programa que havíem escrit nosaltres que l’imitava. El missatge que rebia de “Paraula clau errònia, torna-ho a provar” tampoc no li enviava el sistema sinó que li enviàvem nosaltres després d’haver-nos guardat les seves credencials. Fet el fet, tancàvem la nostra sessió i el sistema li mostrava finalment la pantalla d’inici real. Arribats aquí tornava a entrar les dades i llavors la vida continuava com si res.

La pesca de credencials que li van fer a l’Albert Rivera no és massa diferent: un furoner (hacker) denúncia via la pàgina de Whatsapp que li han robat el compte i hi introdueix el número de mòbil de l’Albert Rivera. Whatsapp, per seguretat, envia un codi de sis dígits al número de telèfon original, que rep l’Albert Rivera. El furoner envia un missatge a l’Albert Rivera fent-se passar per Whatsapp dient-li que li han robat el compte i que necessita el codi que acaba de rebre per verificar que ell n’és el propietari legítim. L’Albert li envia el codi que el furoner utilitza per a verificar-se a Wahtsapp com a el propietari autèntic del compte. A partir d’aquí l’Albert ja no és l’Albert a Whatsapp i ho és a tots els efectes el furoner.

"La pesca de credencials que fèiem als 80 a la facultat als estudiants de primer i el que li van fer a l’Albert Rivera tenen com a denominador comú la ignorància, la innocència i la ingenuïtat"

Avui, aquell VAX de DEC el portem a la butxaca i els terminals estan repartits per tot el món. La pesca de credencials que fèiem a la dècada dels 1980 a la facultat als estudiants de primer i el que li van fer a l’Albert Rivera tenen com a denominador comú la ignorància, la innocència i la ingenuïtat que tots tenim quan ens enfrontem a sistemes complexos dels que no en comprenem prou bé el seu funcionament. En això internet i la política també s’assemblen.

Al principi deia que l’afer m’ha deixat molt torbat. Ho dic per varis motius: perquè sé com de fàcil és fer-ho, com de fàcil és que hi caiguem, però sobretot perquè si hi ha li ha passat a un Llicenciat en Dret amb un Master en Dret Constitucional per la URL (tot al mateix any), amb un Màster de Marketing Polític a la Universitat George Washington (era un curs) amb estudis a la Universitat de Hèlsinki (era un Erasmus) i Doctor en Dret Constitucional per la UB (o doctorand, matriculat al curs de doctorat), no sé que ens pot passar a la resta. El que sí que sé és que a cap dels múltiples estudis que diu (deia) haver cursat no li van ensenyar el que era una pesca de credencials, una cosa que alguns vam aprendre el primer dia de primer de carrera.

Més Informació
Snowden: jugar en “God mode”
Avui et destaquem
Comentaris (1)
Jmnc
Cert que li pot passar a tothom però sorpren que sent un home públic no prengui un mínim de precaucions o ho consulti al seu assessor informàtic (que en deu tenir).