Entrevista al responsable de hackear iWiks en 10 minutos el día de lanzamiento

Hace algunos días se comentaba en muchos medios el inminente lanzamiento de la iWiks “primera” red social Mexicana, que prometía combinar funciones de ebay, Facebook, Twitter,a demás de ser súper segura, funcional y minimalista. Algunos medios la consideraban sin conocer más detalles como la sustituta de estos medios y al “CEO” de la misma como un émulo de Mark Zuckerberg. La realidad es que la nota termino siendo que el sitio sólo duró al aire unos cuantos minutos antes de ser exhibida en cuestiones mínimas de seguridad.

Pues bien, en Isopixel nos dimos a la tarea de entrevistar a Rafael Soto aka @faelazo, responsable de exhibir que iWiks estaba muy lejos de lo que prometía. Primero porque se anunciaba como la primer Red Social mexicana, cuando antes han existido otros antecedentes. Segundo porque presumía de ser súper segura y tercero por que el diseño y el proyecto en general no estuvieron a la altura de los que invirtió en publicidad y relaciones públicas.

Sin más, aquí aquí les dejamos la entrevista:

Isopixel: Primero que nada ¿Cuál es tu nombre y a que te dedicas? Una breve introtucción tuya nos pondrá en antecedentes

@faelazo: Soy Rafael Soto y soy un poco de todo: Lic. en administración, geek, autodidacta de tecnologías web, blogger desde hace 8 años (therror.com), entrepeneur (ropero.mx), estudio la maestría en mercadotecnia y me dedico a la consultoría y asesoría.

Isopixel: ¿En qué momento cae iWiks en tu radar?

@faelazo: El mismo viernes en la mañana, revisando los periódicos digitales.

Isopixel: Podrías explicarme brevemente que fue en realidad lo que hiciste con iWikis? Entiendo que no fue propiamente un hackeo.

@faelazo: Pude lograr dos cosas: logré una prueba básica de XSS y accesé a la cuenta de uno de los administradores (aunque al parecer no tenía ningún privilegio especial).

Isopixel: ¿Qué te motivo a hacer lo que hiciste?

@faelazo: Probar la seguridad de la aplicación. Desde el login y el registro no me pintó muy profesional; todos los campos eran obligatorios, fallar una vez significaba volver a empezar desde el principio e incluso pedían una foto de perfil.

Isopixel: ¿Que opinas en general de iWiks en temas de diseño, usabilidad, seguridad,AI, etc.? Según leo fuiste de los pocos que pudo ver su interfaz.

@faelazo: No había nada de inteligencia artificial. Empezando con la idea, incoherente con la ejecución final. Se decía de una red social que nos ahorraría tiempo, minimalista y no sé qué tantas cosas. De entrada, los patrones de diseño básicos de una red social (agregar amigo) no estaban disponibles hasta horas después y no resaltaba tanto como debería.

Minimalista? difícilmente, básicamente había 4 secciones: mi casa, mi calle, mi mundo y mercado. Las tres primeras eran un wall de facebook, cuál era la diferencia entre una y otra? quién sabe, nunca entendí. En mercado sólo aparecían categorías. Realmente no lo probé.

Pasar mi identificador de usuario era imposible, ya a las cansadas lo hallé y era un código hexadecimal muy largo. En cuestión de diseño, no se notaba un esfuerzo y el HTML era terrible; estilos inline por todos lados.

Ahora sí, a lo que vamos: seguridad. En una palabra? Pésimo. Todo estaba en campos ocultos, cuando mandabas un mensaje privado, había un campo oculto “de” que tenía tu identificador. Entonces si conocías el de alguien más podías mandar un mensaje como otra persona, y esto en cada una de las secciones. Con javascript se podía crear un worm tipo el de MySpace de hace unos 5 años, pero con mucho menos esfuerzo.

Al final el servidor tuvo una carga tan pesada que tardaba más y más en responder hasta que respondía con un error 500, poco después ya no estaba la aplicación, dando un error 404 en todos lados.

Isopixel: Finalmente ¿Que le recomendarías a las personas qu desean innovar en Internet para que no pasen los mismos apuros similares?

@faelazo: No vender humo ni hype, tener una ventaja competitiva real (es que es mexicana no es válida) y tener una visión muy concreta de lo que se quiere realizar.

Ya con esto, rodearse de gente con experiencia para evitar ser chamaqueados, ser muy críticos en el trabajo (las imagenes no estaban redimensionadas por lo que cargaban muy lento, alguien debió haber preguntado: “porqué cargan tan lento?”), probar, probar y probar (con esto se hubieran dado cuenta que mi casa, mi calle y mi mundo era triplicar las funciones), tener un producto central que es el que va a llevar de frente todo el esfuerzo y otra vez, criticarse en función de los mejores: era una foco rojo que todas las formas estuvieran desalineadas. Si no hay cuidado en este tipo de detalles, cómo los podríamos esperar en seguridad?

Hasta aquí la entrevista. Es importante aclarar que @faelazo no tiro el sitio, sino que simplemente se limito a acceder muy fácilmente a una de las cuenta de los administradores. Si les interesa el tema, acápueden seguir una cronología de los hechos narrada por él mismo. Resulta elocuente la facilidad con la que lo hizo.

OSINT: Inteligencia "Open Source"

"Internet es lo más cercano a una máquina perfecta de vigilancia que el mundo ha conocido. Todo lo que se hace en la Red es registrado; cada email enviado, cada sitio visitado, cada fichero descargado, cada búsqueda realizada son grabados y archivados en algún sitio, ya sea en los servidores de nuestro proveedor de Internet o en los servicios de la "nube" a los que accedemos. Como herramienta para un gobierno totalitario interesado en la conducta, las actividades sociales y los procesos de pensamiento de sus individuos, Internet es casi perfecta."

¿Sabías que la mismísima CIA reconoce que el 80% de su información de inteligencia procede de Google? Cada vez más empresas proporcionan servicios de recopilación, procesamiento y agregación de información libremente publicada en Internet (OSINT u "Open Source Intelligence") a servicios policiales... y cualquier otro que pueda pagarlos...

Se trata de una actividad altamente privatizada y muy ligada a los Numerati. Durante la última década empresas como Equifax, Experian, Acxiom, Choicepoint,LexisNexis y muchas otras han ido constituyendo un inmenso conglomerado casi invisible para el individuo común pero que mueve miles de millones de dólares.

Aunque oriunda de los EE.UU, la recopilación de inteligencia Open Source ya no es sólo una actividad típicamente norteamericana. La Unión Europea cuenta desde 2006 con EUROSINT, una asociación no lucrativa belga creada con el apoyo de la Comisión Europea. Otras empresas europeas dedicadas a OSINT son World-Check, Infosphere AB, Sandstone ABy muchas otras. Incluso algunas universidades se han incorporado al desarrollo de técnicas para este floreciente negocio, como la Universidad del Sur de Dinamarca y su CTR Lab.

Por supuesto la excusa de tanto desvelo empresarial e investigador es la lucha contra el terrorismo. De hecho, un interesante trabajo de Statewatch, utilizado como fuente para este artículo y recomendado para quien quiera profundizar en este tema, concluye con estas palabras:

La amenaza actual contra las libertades civiles no proviene de Internet ni de gobiernos totalitarios, sino de una neo-macarthiana caza de brujas de "terroristas" y "radicales", y una industria de la seguridad privada dedicada a desarrollar las herramientas de "vigilancia perfecta" para localizarlos.

TREMENDA LECCION‏

Un hombre estaba sentado en el avión al lado de una tierna niña, miró a la niñita y le dijo:

- Charlemos... he oído decir que los vuelos parecen menos largos si uno conversa con la persona que tiene al lado.

La pequeña, que acababa de abrir un libro para ponerse a leer, lo cerró lentamente y dijo con voz suave:

- ¿Sobre qué le gustaría conversar?

- Pues no sé... ¿Qué tal de 'física nuclear'? le dice el en tono burlon y le mostró una gran sonrisa.

- Bueno, ése parece ser un tema interesante, dice la niña pero antes déjeme hacerle una pregunta... Un caballo, una vaca y un borrego comen lo mismo: hierba; Pero por que el excremento del borrego es como bolitas pequeñas, el de la vaca es una plasta y el del caballo parece una pelota de pasto seco. ¿Por qué cree usted que sucede eso?

El hombre visiblemente sorprendido por la inteligencia de la niña, lo pensó un momento y le dijo :
- Hummm.... no tengo ni idea.

La delicada y dulce niña contestó:
-De verdad se siente calificado para hablar de física nuclear, ¡cuando ni de mierda sabe!

!!!!!TENER UN MARIDO ASI NO TIENE PRECIO!!!!!

El hombre despertó aquella mañana con una tremenda cruda. La noche anterior se había pegado una parranda fuera de casa…. bebió como un loco, ni siquiera se acordaba como había regresado a su casa.

Preso de un dolor de cabeza lacerante, dolidos todos los
músculos del cuerpo, la garganta más reseca que lengua de loro;
en la boca un sabor a cobre y vinagre.

Tenía miedo aún de
Abrir los ojos pues lo esperaba, de seguro, la encabronada de su vieja.

Abrió los ojos
como pudo, y lo que vio lo dejó loco.
Sobre la mesa de noche estaba una pequeña hielera, llena de cubitos de hielo, con un par de cervezas bien frías. Al lado, había un par de Alka-Seltzers y un vaso de agua. Recargado en el vaso estaba un sobrecito perfumado; el tipo anonadado abrió el sobre y en su interior halló un recado que decía:

“Amor mío, vida de mi vida: Perdona que no esté aquí para atenderte”... “Salí un momento, pero regreso al rato para estar contigo. Te he dejado estas cosas sobre la mesita para que alivies el malestar que quizá sientas después de la borrachera de anoche”.. “ Te he preparado un caldo como a ti te gusta, pollo y res, que te espera en el comedor. Le pedí a nuestro hijo que te lo sirva y que esté pendiente de ti, Te dejo un beso con todo mi amor. Tu esposa que te adora”

El hombre no daba crédito a sus ojos. Bebió con deleite las dos cervezas bien frías, se bañó, se vistió y bajo al comedor. Ahí en efecto lo esperaba su hijo, que lo saludó con cariño y le sirvió el caldo preparado por su madre.

Se lo comió en silencio, y el asombrado Padre pensó….“¿Qué esta sucediendo?” ¿Soñaba acaso? ¿Era aquello una vana ilusión de los sentidos?

Entonces se atrevió a preguntar con timidez: “¿Qué pasó anoche, hijo?”
“Llegaste a las 3 de la mañana y venías en completo estado de ebriedad. Chocaste el carro en la puerta del garaje; le diste una patada al gato; te vomitaste en la sala y arruinaste la alfombra que mi mamá acababa de comprar, te measte en el closet. Luego te caíste en la escalera y ahí quedaste privado, sin sentido. Tuvo que despertarme mi mamá para que la ayudara a llevarte a la cama”.

y “¿Entonces? pregunta el señor ¿por qué todo esto? ¿por qué las cervecitas y el amoroso recadito, y el tremendo caldo y todas estas finas atenciones?”.

Responde el muchacho: – “Porque mamá te iba a desvestir en la cama y cuando empezó a bajarte los pantalones tu dijiste:
“¡¡¡QUIETA MÉNDIGA!!! ¡¡¡QUE SOY CASADO!!!”.

2 Alka-Seltzers: $3 pesos
2 Cervezas frías : $14 pesos
Caldo con sopa Maggi: $20 pesos
Decir las palabras correctas en el momento
preciso……..¡NO TIENE PRECIO!!!!!!!!!!!

El Internet y México

Conocemos algunos datos sobre el Internet en México y cómo nos llevamos con el respecto al uso, las edades de los usuarios, horas que pasamos frente a un monitor y nuestros sitios preferidos a visitar, pero siempre un par de imagenes que nos ayuden a ilustrar toda esa información sirven de mucho para ayudarnos a asimilar las cifras.

Por esto los creativos de L-1452 idearon una infografía en español donde nos ilustran los principales datos de nuestro país y el uso de la Web, así que se los dejo para que le demos un vistazo. A destacar que seguimos usando más Windows Live Messenger y que Twitter ha ganado más usuarios que Facebook.

2011

	Cada nuevo año siempre viene acompañado de los mejores deseos y las ganas de hacer mejor todo lo que no se pudo en al año anterior, con nuevos deseos, sueños y metas que cumplir... En este 2011 no lo es menos y por eso se renuevan las ganas de seguir creciendo y siendo cada vez mejor... Desde aquí espero que este nuevo año sea de los mejor para todos ustedes !