Los ERRORES que me costaron un MacBook Pro

DragonJAR 336x280 Los ERRORES que me costaron un MacBook Pro

Esta historia parecía destinada a no salir de mis borradores, ya que aun guardaba esperanzas de recuperar mis cosas, pero al revisar las charlas de la DEFCON18 encontré una que me motivó a terminar este borrador, la charla se titula “Pwned By The Owner: What Happens When You Steal A Hacker’s Computer” y básicamente lo que les cuenta ZOZ, es muy similar a lo que me sucedió a mí, solo que en mi caso no hay final feliz…

Errores0 Los ERRORES que me costaron un MacBook Pro

Todo sucedió el primero de septiembre de 2010, a unos cuantos días de mi viaje para presentar el reto forense de la EKO Party; En la cafetería de mi universidad y gracias a un descuido mío de unos pocos minutos, logré extraviar un maletín que contenía entre otras cosas mi portátil PRO, mi disco duro Western Digital de 1TB y varios libros técnicos.

Lo primero que hice fue preguntar a las personas encargadas del aseo en la cafetería, quienes hacia poco acababan de limpiar la mesa donde me encontraba, las cuales desconocían el paradero de maletín (aun hoy son mis principales sospechosos), después de esto notifiqué a la seguridad de la Universidad, quienes procedieron a realizar requisas a todas las personas que entraban o salieran del establecimiento (menos los carros…), al no encontrar nada se notificó a la policía quienes acudieron rápidamente con 2 agentes, procedieron a interrogar y requisar el sitio de los encargados del aseo (principales sospechosos), no se encontró nada y siguiendo sus recomendaciones puse el denuncio en la comisaría de policía mas cercana.

Los “operativos” de requisa continuaron varios días sin resultados, se ofreció recompensa por información que diera con el paradero del maletín (el reto forense para la EKO Party ya estaba listo en esa maquina y faltaba poco tiempo para mi viaje), y se realizo una gran campaña a las listas de correos de la universidad, se notificaron a casi todos los centros autorizados de Apple en la región quienes muchas veces ayudan a recuperar los equipos robados que llevan a reparar, aun así no se supo nada de mis cosas.

Yo ya me había planteado la idea de un posible robo de mi portátil, de hecho había escrito varias entradas con herramientas para evitar que el robo sucediera o que ayudara a recuperarlo fácilmente, por eso mi portátil tenia toda la información protegida por medio de FileVault, tenia instalado DynDNS Updater, un sistema anti robos llamado Prey y una alarma iAlert U, ademas de un sistema completo de backups en un disco duro externo… entonces ¿por que no pude recuperar mi portátil o por lo menos la información?

Estos son los errores que me costaron un :

  • En primer lugar descuidé mis objetos personales en un lugar publico, confiado de la “seguridad” que supone estar dentro de su propia Universidad…
  • Por mi afán de tener mi información segura, deshabilite el login automático del sistema, solo con mi nombre de usuario y contraseña se podía entrar al equipo, impidiendo que herramientas como el DynDNS Updater, iAlert U y el Prey se ejecutaran cumpliendo su labor.
  • Tenia todo mi “respaldo” en el disco duro que también se encontraba en el maletín, por lo que no pude recuperar mi información.
  • No tenia ningún tipo de seguro contra robos que cubriera estos daños (al menos los materiales).

Aunque con la ayuda del administrador de la red en mi universidad se buscaban conexiones de equipos con mi dirección mac (tenia toda la información de mi equipo, serial, mac, serial de hardware, etc… gracias a los reportes que alcanzaron a enviar las herramientas desde mi cuenta antes del robo), nunca dimos con una y dudo que el equipo lo llevaran de nuevo a la universidad ya que era fácilmente identificable (tenia un golpe en la esquina inferior izquierda, del que todo el mundo ya sabia). Afortunadamente pude re-hacer el reto forense en tiempo récord (mi principal preocupación por lo cerca del viaje), gracias a mi costumbre de diseñarlos en papel antes de realizarlos y presentarlo en argentina donde tuvo muy buena acogida.

Hoy escribiendo desde mi maquina nueva, puedo ver al pasado y reírme de los errores tan simples que cometí y que me costaron un MacBook Pro, es por eso que en este articulo, no solo comentaré mis errores, sino también las soluciones a los mismos, para que mi experiencia sea de utilidad y otras personas no tengan que pasar por lo que yo pasé.

Consejos para evitar el robo de tus cosas

  • No descuides tus objetos personales, no bajes la guardia por creer estar en un sitio seguro, si puedes comprate una guaya de seguridad y asegura tu equipo siempre.
  • Nunca lleves tu copia de seguridad contigo a todo lado, trata siempre de alojarla en servidores externos (si es posible), existen excelentes servicios gratuitos y otros de pago para realizar esta labor.
  • Mantén siempre la siguiente información sobre tus dispositivos (numero de serie, modelo) si ademas cuentas con la factura y alguna característica única de tus gadgets, será mas fácil que una vez encontrado puedas demostrar que efectivamente te pertenecen (el software que comento mas abajo te ayuda en esta tarea).
  • Incluye en alguna póliza de seguros tus equipos mas valiosos, perder tu herramienta de trabajo puede dificultarte mucho la vida, es mejor tener un colchón para conseguir otra tan pronto sea posible.
  • Reporta tus gadgets en la comisaría de policía mas cercana, ellos harán un reporte el cual contiene los objetos extraviados y el valor de cada uno, la fecha del robo y como sucedió, este documento será muy importante a la hora de recuperar tus cosas.
  • Registra (ojalá antes del robo) tu Mac en todas los centros autorizados de soporte en tu país, la mayoría de centros tratarán de colaborarte y registraran tu serial en su base de datos de equipos, en el momento que lleven tu maquina a reparar te notificarán y con el apoyo de la policía local y el denuncio que pusiste podrás recuperar tu equipo fácilmente.

Corrigiendo los errores de configuración “anti robos” en mi sistema

  • Lo primero que debes hacer es crear una cuenta nueva para invitados (no uses la cuenta de invitados que trae mac, ya que borra toda la información del usuario cada vez que cierra sección y eso no es lo que queremos) , “Preferencias del Sistema/Cuentas/+” ponle el nombre que quieras y dejala sin password.

CuentaInvitado Los ERRORES que me costaron un MacBook Pro

  • Te preguntará si quieres deshabilitar el inicio automático, yo te recomendaría que le des SI, ya que si tu equipo esta en manos de otras personas, no querrás que empiece a revisar tus archivos, correos, etc… También dejo a tu albedrío utilizar o no FileVault para cifrar tu información “Preferencias del Sistema/Seguridad/FileVault/Activar FileVault” ya que ocupa bastante espacio en disco.
  • Ahora ingresa por la cuenta invitado y pasemos a instalar el Prey, que ha dejado de ser un simple script para enviar información a nuestro correo, a todo un servicio web con gran cantidad de opciones a nuestra disposición para ubicar nuestro equipo lo mas pronto posible.

EvitarRoboPortatil Los ERRORES que me costaron un MacBook Pro

  • Ahora vamos a crear o cargar nuestra cuenta (si ya la tenemos creada), con esta cuenta lo que vamos a hacer es loguearnos en www.preyproject.com y desde ahí administrar la información que deseemos obtener de nuestra maquina.

EvitarRoboPortatil2 Los ERRORES que me costaron un MacBook Pro

  • Después de configurar Prey a tu gusto, vamos a instalar iAlarm U, un sistema de alarma que dispara un sonido (ademas de enviar información esencial sobre el sistema) y toma la foto de la persona que toque, mueva o desconecte el adaptador de tu equipo, la instalación es como cualquier aplicación de Mac, simplemente arrastrala a la carpeta Aplicaciones, la configuración es muy intuitiva y depende de los gustos de cada persona, pero si quieres que te envíe la foto de las alertas al correo, debes configurar el servidor de correo así (suponiendo que tienes cuenta en gmail):

AlarmaPortatil Los ERRORES que me costaron un MacBook Pro

DynDNS Los ERRORES que me costaron un MacBook Pro

  • Para complementar el software instalado, podemos agregar el LogMein, un sistema que te permite administrar de forma remota tu maquina, si tenemos el logmein corriendo y conectado a internet, podremos administrar desde cualquier parte nuestro , en el apartado opciones deshabitlita la “pantalla de bienvenida”, para no notificar al usuario que se esta administrando el equipo.

LogMein1 Los ERRORES que me costaron un MacBook Pro

  • Por ultimo puedes instalar un buen Keylogger solo para la cuenta de Invitados, puedes escoger entre hacerlo o no, pero si se pierde tu maquina necesitaras la mayor cantidad de información posible y estarás muy feliz de haberlo hecho, en Mac existen diferentes opciones para escoger uno, pero te recomiendo el Perfect Keylogger for Mac, que ademas de capturar las pulsaciones del teclado, toma pantallazos, ordena muy bien los logs y se puede configurar alertas con palabras clave como (computador,mac, portátil,robado,vendo,contento, maletín,etc..) y enviarlas a un correo electrónico o subirlas a un servidor ftp.

Existe mucho software comercial para “evitar” o mejor ubicar tu portátil robado, pero trate de hacer este articulo con la mayor cantidad de software libre o gratuito y así no tengas excusas para realizar este procedimiento, recuerda que un golpe duele menos cuando te lo esperas.

Si tienes algún consejo adicional, dejalo en los comentarios, seguramente a muchas personas les será de utilidad.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://www.dragonjar.org ben

    linda historia, esto da entender que no hay nada seguro, un con lo caras que estan las mac ni llorando aparece…

    un saludo,
    ben

  • http://neobits.org hecky

    Excelente articulo DragoN, y muy buenas recomendaciones, confieso que lo de la cuenta de invitado no se me habia ocurrido :(

  • http://aumentada.net santiago bernal

    parse que falla que eso halla ocurrido, menos mal ud ya tiene un macbook nuevo, yo en mi caso tengo mi mac configurado para que inicie sesion solo sin pedir contraseña y le tengo instalado el prey.

    pero creo que le voy a seguir los otros pasos que estan ahi.

  • http://blog.exodica.com.ar Exos

    Bueno yo soy linexero de alma, pero si OS/X también es un unix, el error de DynDNS y otros mecanimos de seguridad que mencionastes no fue el no tenerlos en una cuenta de usuario de libre acceso, sino al contrario, de tenerlos en el espacio de usuario y no en el sistema. Yo uso por ejemplo no-ip en todos mis equipos, cada uno tiene su dominio nombremaquina.no-ip.info y esto lo tengo directamente como un servicio del sistema, asi que no hace falta que aya un login para actualizar la ip y etc. Desconosco como ya dije Prey y todos esos mecanismos ya que siempre arme mis equipos con los mios, pero todo del lado del sistema operativo, que como ventaja tambien esta que sin acceso al super usuario, no pueden apagarlos o desactivarlos, si dejas un mecanismo de seguridad corriendo bajo el usuario logueado, lo primero que haria seria matar todos los procesos no necesarios, antes de siquiera conectarme a la red.

    • Rubén

      > ” el error de DynDNS y otros mecanimos de seguridad que mencionastes no fue el no tenerlos en una cuenta de usuario de libre acceso, sino al contrario, de tenerlos en el espacio de usuario y no en el sistema”

      Al tener Filevault configurado en la Mac, la Mac no sube nada hasta que un usuario autorizado (configurado en System Preferences) se autentifique. Por ende nada del sistema va a correr.

      En Linux esto es equivalente a tener tu disco en un encrypted lvm.

      Lo unico es que en la Mac, te permite hacer unlock usando el password de una cuenta y que se ve mas bonito.

  • Pingback: Tweets that mention Los ERRORES que me costaron un MacBook Pro -- Topsy.com

  • dero

    y qué tal un rootkit con un backdoor? para complementar, aunque en la charla de la Defcon18 utilizó VNC para conectar con el equipo si mal no recuerdo.

    Yo pasé por las mismas con el HP que perdí en la campus party 2010

    • http://www.dragonjar.org DragoN

      Los mac incluyen un servidor VNC y otro para administracion remota, pero quedan habilitadas para todos los usuarios… con logmein quedo solucionado ese aspecto…

  • http://acespedes.com Alexis

    Creo que puedo aportar un poco con esto… Te encuentro toda la razón a lo que dices.

    Que lamentable que te haya pasado algo así ya que yo tengo lo mismo que tu, mi equipo (aunque no es un Mac…) y mi Disco Duro en donde tengo toda mi info y si les pasa algo no sé lo que pasará…

    Por esto decidí buscar otras alternativas y lo mejor que he encontrado es respaldar la información en la nube…

    Comparé muchas opciones y entre todas me quedé con Sugarsync. Es un servicio que tiene capacidad ilimitada y cuesta $50 dolares al año… Un precio bastante poco por tener toda tu info segura.

    Es cierto que no es facil subir 1GB a la nube, pero es una opción válida para tener las cosas en un sitio en donde un ladrón no pueda meter sus manos.

    Mis saludos y espero que nunca mas te pase algo similar…

  • http://blog.juanescobar.org Juan Escobar

    Muy buenos consejos Jaime, gracias por compartir tu experiencia.

    Saludos.

  • http://adictosvirtuales.com dark_klown

    hey que buen aporte parc excelente yo que me acabo de adentrar en el mundo mac me compre un macbook white dual core 4 ram, y 500 dd…. no es mucho como los pro pero me camella bn …. tomare muy encuenta los consejos men

  • http://rodolfo.gs/ RodolfoGS

    Yo tengo el disco particionado en dos. Para en una particion poner el OS y aplicaciones, y la otra para mis archivos personales.
    De esta forma puedo formatear y no perder archivos.

    Alguien sabe como hacer, o si hay alguna aplicacion, para usar algo tipo FileVault pero para esa particion (la de archivos personales).

    Porque FileVault solo encripta la /home/, pero yo no tengo mis archivos personales ahí, los tengo en la otra partición :/

  • Anónimo

    Hola, muy buena la historia, pero una cosa…. Supongamos que sacas toda esta información del que te lo ha robado. ¿Y luego qué haces? ¿Cómo recuperas el portátil? ¿Lo denuncias? ¿Vas a darle una paliza si lo encuentras?

    • http://www.dragonjar.org DragoN

      Con la foto, sus cuentas de correo, su historial de navegación y todo lo que podríamos sacar del equipo, facilmente podríamos sacar una ubicacion fisica y poder hacer un reclamo formal con la policia, recuperando el equipo.

  • Akron

    Hola Dragon que lastima con la informacion y con tu material de trabajo pero mi pregunta va a lo siguiente como hago para que en invitados sea en mac o windows no lo detecte ningun virus el perfect keylogger porq cualquier antivirus lo reconoce y la configuracion es una jactera

    • http://www.dragonjar.org DragoN

      puedes programar una excepción en tu antivirus, para que no analice nada de la carpeta donde esta instalado el keylogger

  • Akron

    antivirus quize decir

  • c1b3rh4ck

    Muy buena la entrada ! :-| ,lastima por las cosas que se te perdieron dragon,pero una vez mas vemos como la ingenieria social (En este caso no ) o nuestros propios errores humanos muestran como algunos perpetradores realizan sus fechorias,e dicho que siempre se debe estar en modo paranoico o por lo menos ser lo bastantemente agil como para detectar errores nuestros, o los de los otros que nos acompañan,talvez quizas parezca un poco utopico pensar en el trabajo que realizan los espias como smerl u otros tantos personajes de novelas que e leido pero muchos de ellos son excelentes en su trabajo y esto me gusta ! SOLO PIENSA COMO PERPETRATOR …Si alguna vez han visto The real Hustle USA (Muchas tecnicas avanzadas para realizar ataques humanos son mostradas en el programa )! Perdonaran el troleo (soy hombre de pocas palabras :-| )…http://www.youtube.com/watch?v=G6e60iACf40 espero te valla bn con la macbook nueva y gracias por compartir su experiencia,aunque no use Mac

  • fernando

    hola dragon, en el caso que consigas la ip desde la que se conecta la persona, llamar al ISP de tal ip y decirles que te pasen la dirección correspondiente no parece muy facil, es decir no creo que te brinden esa informacion, o si?

  • Pingback: Link del día: Passwords en SQL Server | Alpha's Manifesto

  • http://Vapeador.com Carlos

    Yo, adicionalmente le pondria una BOMBA, accederia por el VNC, y la activaria, despues de unos dias apareceria el portatil destruido con unos cuantos ladrones muertos. epic WIN

  • http://www.frankmoshe.com Moshe

    Que genial articulo, hace mucho que no reviso la seguridad antirobos de mi portatil.

    Gran motivo que tengo ahora.

  • http://www.rbforextrading.com Xavi-Forex Trading

    Hoy en dia no te puedes fiar ni de tu sombra, yo siempre que utilizo el portatil en el tren siempre estoy alerta.

  • JaNCo

    Excelente artículo de tu no grata experiencia. Aplicando las recomendaciones a sistemas Windows ¿qué keylogger me recomiendan?

    • http://www.dragonjar.org DragoN

      perfect keylogger tambien tiene version para windows

  • http://www.kilisden.com/makarna-diyeti Roseann B. Dale

    Yo .Haber creo que fui muy claro al especificar que tanto para profesionales como estudiantes semiprofesionales o no profesionales les es muy ??til el firewire yo por el ejemplo tengo una macbook black que utilizo con interfaces firewire 400 y algunas usb y me la llevo a todos lados y aparte en mi estudio uso una mac pro con interfaces PCI entonces para trabajar profesionalmente no necesito una macbook pro en realidad lo que me ahorra bastante dinero lo cual era una gran ventaja en la macbook y que no es tan cara como una macbook pro y para trabajar con audio funciona de maravilla con las interfaces firewire los estudiantes de m??sica que apenas van comenzando en esto tambi? n les es muy ??til en mi universidad se pueden ver muchos que tienen sus macbook y siempre van a necesitar el puerto firewire y de esa manera no gastar mucho mas por una computadora que si lo tenga..Creo que apple no sabe muy bien que creativos de los medios audiovisuales consideran toda la gama de sus productos para trabajar en sus creaciones ya sean profesionales o no con la introducci??n de los nuevos port? tiles el macbook quedar??a desechado para trabajar de la manera mas eficiente lo que es una gran desventaja para los consumidores ya que tienen que pagar mucho mas por tener lo que necesitan..Y ojo ning??n fabricante te recomendar??a usar tu puerto firewire 800 con un cable especial para pasarlo a 400 para usar sus productos afortunadamente la macbook pro trae el puerto para tarjetas express y con una interface hacer esa conversi??n.. Asi vuelco las peliculas que tomo con el MacBook a traves de la camara iShingt integrada y las grabo y guardo copia en estos momentos uso el MacBook como una especie de grabadora discreta en entrevistas que estoy haciendo para un trabajo para la universidad..El caso es que una de las principales funciones que tiene la conexi??n FireWire es la de optimizar hardware viejo y eso es bastante importante.

  • yo solo yo

    hola se bien que la info aveses es muy muy importante por que yo lo eh perdido todo por error formatie el disco y perdo todo trabajo fotos archivos todo todo todo haora me parece que tambien es una gran perdida que te roben un mac por su valor economico haora si tiene seguro y puedes recuperarla que se lleven una por semana ja

  • Maria Ofarrill

    mi hijo le configuro la alarma alert U a mi macbook,el problema es que no puedo usar la compu ya que la alarma no apaga.luego de encender la compu y entrar la contraseña se activa la alarma y no puedo apagar la misma.
    Le agradecere si me pudiera aconsejar sobre que puedo hacer.recido en PuertoRico.

  • Pingback: Consejos Simples de Seguridad para ir a la Campus Party

  • Pingback: Anónimo

  • Pingback: Securizar MacOS X II « segjsm

  • LUZ ARIZONA

    ME PUEDES AYUDAR A LOCALIZAR EL IPOD TOUCH DE MI HIJO..

    LO PERDIO HACE 2 SEMAS Y APENAS ME DIJO Y LA VERDAD NO HE PODIDO HACER NADO POR MEDIO DEL APPLE.

    TENGO LOS DATOS DEL IPOD Y LA TIENDA DONDE LO COMPRE

  • omega

    que tal, he estado leyendo sus comentarios y me parecen muy interesantes, a la vez, quisiera comentarles que hace dos meses compre una macbook pro, lastima que hace poco asaltaron a mi hermano y se la quitaron. quisiera ver como puedo recuperarla, si me pudieran ayudar, la verdad no me percate en ponerle el icloud a esta ya que solo la usaba cuando tenia trabajos. el punto aqui es que marque a apple y no quieren darme informacion de esta, quisiera ver si con el numero de serie se podia hacer algo. espero sus respuestas, saludos.

  • OJO

    Muy bonito todo pero completamente inutil
    Si el ladron nada más encender el equipo arranca por dvd y te lo formatea adios a todas estas “protecciones”
    Si el ladron le quita el disco duro y lo conecta a otro equipo, adios a todas estas “protecciones”
    Todo muy bonito siempre y cuando el ladron inicie el equipo y se conecte a internet, porque a menos que el portatil tenga una 3GG siempre encendida ya me diras como rayos se va a enviar toda esa bonita información a tú correo
    A diario roban miles de miles de portatiles y cuanto ha sido el porcentaje de exito en recuperarlos ? 0,001% Cuantos de ellos tenian todas estas bonitas “protecciones” ? Un alucinante 46%
    La mejor protección es No confiarse y No quitarle el ojo de encima ni por un segundo, asi de simple
    El que quiera una falsa sensación de seguridad pues adelante que le instale todos esos programas tan chulos
    El que quiera verdadera seguridad que No le quite el ojo de encima a sus equipos

    • emaguana

      Es cierto que lo vital es no descuidarse, pero puede haber suerte si se instalan estos programas. Algo que haría yo, no para recuperar mi ordenador, pero sí para fastidiar un poco al ladrón, sería meter una contraseña firmware. Los OSX bajo intel tienen esa opcion por defecto. De esta forma no se puede reinstalar el sistema facilmente.
      Interesante artículo.

  • Pingback: Nos ha pasado

  • Pingback: Qué hacer cuando se moja un Portátil

  • Pingback: Nunca le robes a un informático “mañoso”

  • BYRMC

    La vida cotidiana del informático esta echa de retos y más retos.

  • Anonimo

    La palabra mac genera ambigüedad en este artículo. Leyendo pensé que era la MAC no la mac. Buenas recomendaciones. Lo tendré en cuenta al ir a Manizales.

  • Pingback: R.I.P. Mac | Sara de la Mora | Design projects | Proyectos de diseño

  • http://godieboy.com godie

    lastima que no se pudo recuperar, el servicio de apple del iCloud para encontrar nuestros dispositivos no seria también de ayuda?

    Lo bueno que diste la platica heramano.

  • Vicente

    Muchas gracias por las indicaciones!

  • MaLk

    Mala experiencia, pero gran aprendizaje, gracias por el aporte