12 marzo 2013

Whatsapp revela el login de su CEO Jan Koum en su blog


Ellos son así. No se cansan. Siempre en boca de los investigadores en seguridad IT.

Todos sabemos que la seguridad empieza con un determinado estado mental, con una determinada actitud proactiva y preventiva. Despues de todo el principal vector de ataque siempre es el humano. Pero Jan Koum, uno de los dos CEO de Whatsapp, tiene su peculiar manera de entender la seguridad... 

O no la entiende.

Ambos CEO, Brian Acton y Jan Koum, son personas del mundo de la publicidad digital (despues de todo son formers de Yahoo!). No se espera de ellos que sean genios de la seguridad, pero creo que deberian dejarse aconsejar un poco mas a la hora de comunicar cosas en su blog con semejante alegría y despreocupación, porque estan regalando las herramientas para que un black hat hacker les haga un "pwnage" en toda regla.

Motivado por el orgullo que le proporciona su poderosa infraestructura tecnológica en servidores BSD, Jan revela datos técnicos en los posts del blog de Whatsapp, y lo hace mediante copy-paste de sus sesiones de terminal, llegando a revelar su login válido, que es "jkb"...

WTF!

Adjunto ejemplos sacados de este post:

Si yo fuera consultor de seguridad de Whatsapp, le preguntaría a Jan:
¿era necesario pegar la línea que contiene el prompt?

Pero no contento con ello, tambien revela más datos acerca del servidor, que si bien no son tan delicados, tampoco es saludable que se compartan:

Si alguno esperaba encontrar el password además del login, creo que le ha fallado el sentido común. Esta gente de Whatsapp es incauta, pero no es tan estúpida, y en el peor de los casos iríamos directos a ellos para avisarles antes.

Si ahora además estás pensando que revelar solamente el login "no es para tanto" y que un atacante aún tendría que averiguar el password de ese login, déjame que te comparta dos reflexiones del libro "El arte de la intrusión":

El dicho es cierto, los sistemas de seguridad tienen que ganar siempre, al atacante le basta con ganar sólo una vez.
~ Dustin Dykes

Siempre que algún ingeniero de software dice: "nadie se complicara tanto como para hacerlo" hay algún chaval en Finlandia dispuesto a complicarse.
~ Alex Mayfield
Ya lo he dicho. La seguridad no es un conjunto de herramientas, hardware y software; la seguridad es una actitud.

Jan, cambia tu login y no lo reveles de nuevo.

Artículo cortesía de Alejandro Amo

27 comments :

papapap dijo...

Este blog se vino abajo hace tiempo... y ya no sabéis qué hacer para rascar de WhatsApp. 3/10

Alvaro dijo...

Y como sabéis que es el login de verdad? ^^ Yo cuando lei ese mismo articulo hace unos meses lo que pensé (sin investigar nada) es que era un login falso, como cuando empiezas un teléfono con 555-... tampoco parece c123 un nombre de host muy relevante, pero quien sabe, muy amigos de la seguridad no son los de whatsapp

Yago Jesus dijo...

Muy interesante tu comentario. Sería genial que te tomases la molestia de navegar 1 o 2 semanas hacia atrás y fueses poniendo nota al resto de posts, así podremos averiguar lo que te gusta y escribir los posts siguientes para ti

Newlog dijo...

Con d-o-o-s cojones! :D

Spank dijo...

¿Era necesario escribir un post de 300 palabras sobre una captura en la que se ve un nombre de usuario? Adivinad en qué otro sitio hay 100 millones de usuarios públicos también? Twitter!!

Dejad de repetir de manera pretenciosa viejos mantras de seguridad que son totalmente anacrónicos. El nombre de usuario se debe considerar público hoy en día, y derivar esfuerzos a protegerse de ataques que cuenten con esa información.

Con artículos como este gritais un que-viene-el-lobo enorme que solo consigue que se tome el contenido medio de este blog como sensacionalista antes que riguroso.

psaneme dijo...

Un artículo genial, la verdad es que los de WhatsApp se estan cubriendo de gloria. No deberían estar tan orgullosos de su backend de servidores. Juan y yo en las Jornadas de seguridad de la UAH (http://www3.uah.es/ciberseg13/) hablaremos de problemas que tienen en su backend

Alejandro Amo dijo...

papapap,
Soy yo quien solo escribe acerca de Whatsapp por motivos que no vienen al caso.
El resto de autores está aportando de todo y para todos los gustos.

car dijo...

No se a que vienen tantas criticas contra este Blog puesto que este articulo en particular puede que sea cansino por el tema tratado e incluso pobre en su redacción pero meter en el caso a SBD y decir que su contenido general es pobre es... uff de verdad yo alucino con algunos comentarios, en fin para mi es de lo mejorcito que hay en España en su genero y mira que hay Blogs y Webs sobre seguridad informática, en fin es opinión, saludos.

Alejandro Amo dijo...

Spank,
Aceptando la crítica, puesto que reconozco que este artículo es casi muy ligerito, y tiene "mantras" como tú los llamas, pero te sugiero enfoques la critica hacia mí.
Y de paso, ponla en contexto con otros artículos que escribi. Tiene que haber de todo, ¿no?

Alejandro Amo dijo...

Alvaro,
s.whatsapp.net por acceso ssh.

BurupHacker Hacker Hacker dijo...

Bueno... Yo me se otro login de ese sistema: root...

Alejandro Amo dijo...

root está deshabilitado por defecto en accesos remotos precisamente por ser conocido y potencialmente peligroso

Alejandro Amo dijo...

gracias por defender mi mismo opinion car
inicialmente este articulito era un "bonus track" para otro articulo que ya se publicó, pero decidí enviarlos por separado y por eso la percepción es la que comentas.
Prometo tenerlo en cuenta para proximas contribuciones y asumo la crítica como mia.
Pero por favor, decir que SbD tenga problemas me parece esssagerao!
Saludos

Alejandro Amo dijo...

bueno, yo sinceramente no lo haría.
aunque mucha gente me trate de tremendista, con esos datos, con maltego y con paciencia....
¿me explico?

Juan Carlos Jiménez dijo...

Justo venía a decir esto... Cada vez que yo he hecho algún copy-paste público de mi línea de comandos he cambiado mi login por otro, así que me parece perfectamente posible que ellos hayan hecho lo mismo. No estoy nada de acuerdo con los del "este blog cada día va a peor", pero un pelín más de criterio para entradas como esta no estaría mal :/


De todos modos, gracias por informar y seguid con el buen trabajo que siempre hacéis :)

papapap dijo...

Qué va, sólo me voy a tomar la molestia de decir que habéis hecho un post en el que más del 50% son capturas, y que el contenido se cimenta en el post de otro blog. De hace más de un año. Chúpate esa.

Igual ya no existe ese login, igual ya no existe esa máquina. Igual la clave ha rotado ya veinte veces desde entonces, y otras tantas veces han cambiado las reglas del Packet Filter.

Pero da igual, ¡aquí tenemos otro post metiéndonos con WhatsApp! ¡Fiesta!

Alejandro Ramos dijo...

Tienes toda la razón del mundo. La buena noticia para nosotros es que es nuestro blog y nos lo follamos cuando queremos. Nos metemos con WhatsApp y con lo que básicamente, nos salga de los cojones. Si no te gusta, no vengas. Deja de molestar. No comentes. Lárgate. No eres bienvenido.

Atentamente: Al que le importa una mierda tus comentarios.

PD: lo que aporta tu comentario a este blog 1/10. Si quieres cosas de calidad: manda una contribución tú.

Alejandro Amo dijo...

papapap,
he aceptado personalmente tu crítica y aportaré algo muy diferente en la próxima. Con gusto te leeré tus comentarios, así como los de otros artículos que he enviado.

Sin embargo me gustaria aprovechar para compartir con los lectores cómo veo yo esto.

Creo que el problema es que muchos lectores de estos blogs buscáis siempre cosas emocionantes y nuevas, un poco vendidos por la tipica imagen de las peliculas etc. Creo que eso es lo que os motiva de este tema. Cosa que es lógica porque es la parte divertida.

Pero tiene un efecto "mitificador" un poco lamentable: se descuida o incluso se desdeñan los aspectos teóricos, sociales, metodológicos y reflexivos, porque "no molan tanto" como publicar paso a paso un howto de cómo hackear XYZ servicio.

Cuando la audiencia general visita un blog donde se estudia y debate la seguridad IT, creo que esperáis tener acción todo el rato como os han vendido en una peli de hackers, pero jamás se hará una peli de hackers realista porque a nadie le interesará nunca ver a un chico con barba de tres dias, en ropa interior y calcetines, peleándose con el código, con el compilador, con el script, con el sniffer, con el servidor, una vez tras otras y durante horas de frustración y cabezoneria, hasta que encuentra algo que finalmente es "emocionante" per se.


La seguridad es mucho mas. Y precisamente creo que lo que diferencia la seguridad IT profesional del viejo y antiuado movimiento "andergraun" es que ahora hacemos las cosas con cabeza y hay espacio para reflexiones, que por cierto, como todo lo que vale la pena aprender, dichas reflexiones deberian ser mas atemporales (otro mal indicio de que la gente está demasiado hambrienta de "lo ultimo nuevo y mejor")

De todos modos me reitero: lamento que el breve escrito te dejara frio, y acepto el reto para mi próximo aporte.


Todo esto, dicho sea en mi nombre. Para todo lo demas, AR ya te ha comentado en nombre de SbD ;)

Alejandro Amo dijo...

he respondido con un poco de datos (no muchos para no incitar) pero al contener un nombre de host debe ser moderado. Ya saldrá.

esternocleidomastoideo dijo...

Que grande sois cuando queréis...

Yago Jesus dijo...

¿Y? Es decir, OWASP y cía recomiendan SIEMPRE que se use correo en vez de username en sitios tipo redes sociales, webs tipo eBay etc etc. ¿Twitter lo hace mal? perfecto. También hay millones de asesinos y no por eso hay que 'contar con que te pueden asesinar'.


Y respecto a tu observación sobre el 'contenido medio', hombre, en parte deberías alegrarte: es la parte que tu alcanzas a entender :)

Car dijo...

De nada Alejandro no se merecen puesto que la verdad solo tiene un camino. No seria justo si no hubiera defendido tu postura puesto que sigo este Blog desde hace tiempo y como dije en mi anterior post las criticas son muy desafortunadas e incluso desproporcionadas, es como decir que un Sistema X no es seguro y es malo porque se le ha encontrado una vulnerabilidad, en fin saludos.

Newlog dijo...

Dios! Cuanto troll comentando el post! Así da gusto llevar un blog para intentar echar un cable a los demás. Tiene huevos la cosa...

Alejandro Amo dijo...

Eso buena señal!
SbD tiene los suyos propios, como todo blog importante.
Y yo me llevo unos cuantitos a cuestas allá donde voy, en este blog, en foros, en twitter...
Hasta se registran en cuentas nuevas para rajarme!
muy interesante el fenómeno, e insisto, muy buena señal.
Ya lo dice Risto Mejide (el de verdad, no el personaje de la tele), en su libro annoyomics. Y qué razón tiene.

Yoya dijo...

Cuanto comentario! Así da gusto! Cuando os curráis un post súper técnico y no comenta ni el tato ya sabéis por qué es: es porque el 99% de los trollcitos no es capaz de entender ni lo mínimo necesario como para poder criticar algo, es más, hasta obvian estos posts como si no existiesen!!
Pero oye, aquí somos así! y si no te gusta algo no intentas mejorarlo, para qué? Es mucho más fácil rajar que enviar una contribución, más rápido y, además, en un comentario no se nota tanto que tienes el coeficiente intelectual de una alpargata.
Hacéis un trabajo estupendo y no se os dice tanto como os lo merecéis.

Sak dijo...

Este post es un poco de vergüenza ajena.


Sin acritud.

Gonzalo dijo...

Igualito los usuarios de un servicio público que los usuarios de un servidor que no es público, igualito un simple usuario de twitter que el usuario que administra el servidor o tiene acceso a el, que si que por que tu lo digas el usuario debe de ser público porque tu lo digas, espero que nunca trabajes dando seguridad a empresas porque madre mia apañados iban a ir contigo Spank.