The hack of the year publica la curiosa aventura de Dan Egerstad, un hacker sueco de 22 años que trabaja como consultor de seguridad. Consiguó hacerse con cientos de contraseñas de empresas, ONGs, embajadas y otras organizaciones, que luego notificó a los afectados y publicó en Internet.
¿En qué consistió su hackeo? Instaló varios servidores de Tor y los publicitó en la red. Irónicamente, Tor es un conjunto de herramientas para garantizar la navegación anónima por Internet: lo utilizan los trolls para porculizar cobardemente, gente de todas las edades para ver pornografía sin que «les pillen» y en algunos países se utiliza para rodear la censura (entre otros usos aceptables, además de todos los inaceptables).
Muchos usuarios de Tor creen que su navegación está protegida totalmente de inicio a fin y que tienen «privacidad», pero en realidad sólo tienen «anominato». El anonimato sólo se consigue si los servidores de la red son confiables y no se envían datos privados en abierto. Los servidores al parecer surgen y se cierran de tiempo en tiempo y los gestionan diversas personas y entidades. Como se ve no se puede confiar en todos ellos.
Aprovechándose de un problema de configuración de Tor en los ordenadores de ciertos usuarios, este hacker pudo interceptar los logins y contraseñas de correo que pasaban por sus servidores, durante varios meses. Entonces avisó del problema a las organizaciones afectadas. No todos le contestaron.
La cuestión de fondo es, obviamente, que igual que este hacker pudo interceptar las comunicaciones de la gente, lo mismo puede hacer cualquier otro experto, además de todas las organizaciones de inteligencia de los gobiernos para los que este tipo de espionaje es práctica habitual.
Actualización: Santiago nos remite a Anonymity and the Tor Network, donde Bruce Schneier explica cómo funciona Tor y aclara los conceptos de que «navegar anónimamente» y «navegar con privacidad» son diferentes (he actualizado el texto anterior un poco debido a esto, para que quede más claro). El 90 por ciento de la gente que navega por Tor no cifra sus comunicaciones, así que… tienen un potencial problema.
- El hackeo del año: MediaDefender, realmente épico.
