Esta historia parecía destinada a no salir de mis borradores, ya que aun guardaba esperanzas de recuperar mis cosas, pero al revisar las charlas de la DEFCON18 encontré una que me motivó a terminar este borrador, la charla se titula “Pwned By The Owner: What Happens When You Steal A Hacker’s Computer” y básicamente lo que les cuenta ZOZ, es muy similar a lo que me sucedió a mí, solo que en mi caso no hay final feliz…

Todo sucedió el primero de septiembre de 2010, a unos cuantos días de mi viaje para presentar el reto forense de la EKO Party; En la cafetería de mi universidad y gracias a un descuido mío de unos pocos minutos, logré extraviar un maletín que contenía entre otras cosas mi portátil MacBook PRO, mi disco duro Western Digital de 1TB y varios libros técnicos.

Lo primero que hice fue preguntar a las personas encargadas del aseo en la cafetería, quienes hacia poco acababan de limpiar la mesa donde me encontraba, las cuales desconocían el paradero de maletín (aun hoy son mis principales sospechosos), después de esto notifiqué a la seguridad de la Universidad, quienes procedieron a realizar requisas a todas las personas que entraban o salieran del establecimiento (menos los carros…), al no encontrar nada se notificó a la policía quienes acudieron rápidamente con 2 agentes, procedieron a interrogar y requisar el sitio de los encargados del aseo (principales sospechosos), no se encontró nada y siguiendo sus recomendaciones puse el denuncio en la comisaría de policía mas cercana.

Los “operativos” de requisa continuaron varios días sin resultados, se ofreció recompensa por información que diera con el paradero del maletín (el reto forense para la EKO Party ya estaba listo en esa maquina y faltaba poco tiempo para mi viaje), y se realizo una gran campaña a las listas de correos de la universidad, se notificaron a casi todos los centros autorizados de Apple en la región quienes muchas veces ayudan a recuperar los equipos robados que llevan a reparar, aun así no se supo nada de mis cosas.

Yo ya me había planteado la idea de un posible robo de mi portátil, de hecho había escrito varias entradas con herramientas para evitar que el robo sucediera o que ayudara a recuperarlo fácilmente, por eso mi portátil tenia toda la información protegida por medio de FileVault, tenia instalado DynDNS Updater, un sistema anti robos llamado Prey y una alarma iAlert U, ademas de un sistema completo de backups en un disco duro externo… entonces ¿por que no pude recuperar mi portátil o por lo menos la información?

Estos son los errores que me costaron un MacBook Pro:

  • En primer lugar descuidé mis objetos personales en un lugar publico, confiado de la “seguridad” que supone estar dentro de su propia Universidad…
  • Por mi afán de tener mi información segura, deshabilite el login automático del sistema, solo con mi nombre de usuario y contraseña se podía entrar al equipo, impidiendo que herramientas como el DynDNS Updater, iAlert U y el Prey se ejecutaran cumpliendo su labor.
  • Tenia todo mi “respaldo” en el disco duro que también se encontraba en el maletín, por lo que no pude recuperar mi información.
  • No tenia ningún tipo de seguro contra robos que cubriera estos daños (al menos los materiales).

Aunque con la ayuda del administrador de la red en mi universidad se buscaban conexiones de equipos con mi dirección mac (tenia toda la información de mi equipo, serial, mac, serial de hardware, etc… gracias a los reportes que alcanzaron a enviar las herramientas desde mi cuenta antes del robo), nunca dimos con una y dudo que el equipo lo llevaran de nuevo a la universidad ya que era fácilmente identificable (tenia un golpe en la esquina inferior izquierda, del que todo el mundo ya sabia). Afortunadamente pude re-hacer el reto forense en tiempo récord (mi principal preocupación por lo cerca del viaje), gracias a mi costumbre de diseñarlos en papel antes de realizarlos y presentarlo en argentina donde tuvo muy buena acogida.

Hoy escribiendo desde mi maquina nueva, puedo ver al pasado y reírme de los errores tan simples que cometí y que me costaron un MacBook Pro, es por eso que en este articulo, no solo comentaré mis errores, sino también las soluciones a los mismos, para que mi experiencia sea de utilidad y otras personas no tengan que pasar por lo que yo pasé.

Consejos para evitar el robo de tus cosas

  • No descuides tus objetos personales, no bajes la guardia por creer estar en un sitio seguro, si puedes comprate una guaya de seguridad y asegura tu equipo siempre.
  • Nunca lleves tu copia de seguridad contigo a todo lado, trata siempre de alojarla en servidores externos (si es posible), existen excelentes servicios gratuitos y otros de pago para realizar esta labor.
  • Mantén siempre la siguiente información sobre tus dispositivos (numero de serie, modelo) si ademas cuentas con la factura y alguna característica única de tus gadgets, será mas fácil que una vez encontrado puedas demostrar que efectivamente te pertenecen (el software que comento mas abajo te ayuda en esta tarea).
  • Incluye en alguna póliza de seguros tus equipos mas valiosos, perder tu herramienta de trabajo puede dificultarte mucho la vida, es mejor tener un colchón para conseguir otra tan pronto sea posible.
  • Reporta tus gadgets en la comisaría de policía mas cercana, ellos harán un reporte el cual contiene los objetos extraviados y el valor de cada uno, la fecha del robo y como sucedió, este documento será muy importante a la hora de recuperar tus cosas.
  • Registra (ojalá antes del robo) tu Mac en todas los centros autorizados de soporte en tu país, la mayoría de centros tratarán de colaborarte y registraran tu serial en su base de datos de equipos, en el momento que lleven tu maquina a reparar te notificarán y con el apoyo de la policía local y el denuncio que pusiste podrás recuperar tu equipo fácilmente.

Corrigiendo los errores de configuración “anti robos” en mi sistema

  • Lo primero que debes hacer es crear una cuenta nueva para invitados (no uses la cuenta de invitados que trae mac, ya que borra toda la información del usuario cada vez que cierra sección y eso no es lo que queremos) , “Preferencias del Sistema/Cuentas/+” ponle el nombre que quieras y dejala sin password.

Configurar usuario Invitado Mac

  • Te preguntará si quieres deshabilitar el inicio automático, yo te recomendaría que le des SI, ya que si tu equipo esta en manos de otras personas, no querrás que empiece a revisar tus archivos, correos, etc… También dejo a tu albedrío utilizar o no FileVault para cifrar tu información “Preferencias del Sistema/Seguridad/FileVault/Activar FileVault” ya que ocupa bastante espacio en disco.
  • Ahora ingresa por la cuenta invitado y pasemos a instalar el Prey, que ha dejado de ser un simple script para enviar información a nuestro correo, a todo un servicio web con gran cantidad de opciones a nuestra disposición para ubicar nuestro equipo lo mas pronto posible.

  • Ahora vamos a crear o cargar nuestra cuenta (si ya la tenemos creada), con esta cuenta lo que vamos a hacer es loguearnos en www.preyproject.com y desde ahí administrar la información que deseemos obtener de nuestra maquina.

  • Después de configurar Prey a tu gusto, vamos a instalar iAlarm U, un sistema de alarma que dispara un sonido (ademas de enviar información esencial sobre el sistema) y toma la foto de la persona que toque, mueva o desconecte el adaptador de tu equipo, la instalación es como cualquier aplicación de Mac, simplemente arrastrala a la carpeta Aplicaciones, la configuración es muy intuitiva y depende de los gustos de cada persona, pero si quieres que te envíe la foto de las alertas al correo, debes configurar el servidor de correo así (suponiendo que tienes cuenta en gmail):

  • Para complementar el software instalado, podemos agregar el LogMein, un sistema que te permite administrar de forma remota tu maquina, si tenemos el logmein corriendo y conectado a internet, podremos administrar desde cualquier parte nuestro portátil robado, en el apartado opciones deshabitlita la “pantalla de bienvenida”, para no notificar al usuario que se esta administrando el equipo.

  • Por ultimo puedes instalar un buen Keylogger solo para la cuenta de Invitados, puedes escoger entre hacerlo o no, pero si se pierde tu maquina necesitaras la mayor cantidad de información posible y estarás muy feliz de haberlo hecho, en Mac existen diferentes opciones para escoger uno, pero te recomiendo el Perfect Keylogger for Mac, que ademas de capturar las pulsaciones del teclado, toma pantallazos, ordena muy bien los logs y se puede configurar alertas con palabras clave como (computador,mac, portátil,robado,vendo,contento, maletín,etc..) y enviarlas a un correo electrónico o subirlas a un servidor ftp.

Existe mucho software comercial para “evitar” o mejor ubicar tu portátil robado, pero trate de hacer este articulo con la mayor cantidad de software libre o gratuito y así no tengas excusas para realizar este procedimiento, recuerda que un golpe duele menos cuando te lo esperas.

Si tienes algún consejo adicional, dejalo en los comentarios, seguramente a muchas personas les será de utilidad.