#85 Platicando con Bob Diachenko: quien busca bases de datos sin contraseña en internet · Crimen Digital
Andrés: Estoy hoy con un gran amigo, que ahora lo considero amigo, ya que hablo una o dos veces a la semana con él desde hace algunos meses. Estoy refiriéndome a Bob… pero Bob, ese no es tu nombre real, ¿cuál es tu nombre real y cómo lo pronuncias?
Bob: Hola Andrés, primero, muchas gracias por invitarme a tu famoso podcast, de hecho, Bob es el nombre que utilizo internacionalmente, para mis amigos internacionales porque mi nombre real es… el cual es difícil de entender o pronunciar si no naciste aquí; nací en Ucrania, aquí vivo, así que, mi nombre a veces las personas que han visto Harry Potter me llaman incorrectamente como Voldemort o algún otro personaje de los libros, por lo que prefiero Bob, es simple y... fácil para pronunciar. Es corto, tiene casi el mismo significado. Era mi apodo en la Universidad, entonces lo uso como mi nickname en internet. Ahora soy Bob Diachenko.
Andrés: Muy bien, todavía recuerdo ese día que me buscaste para pedir ayuda. Platicamos después para tratar de entender algo que habías encontrado en Internet, una base de datos. Para mí, era muy raro que una persona desde Ucrania me estaba buscando para entender una base de datos que podría tener datos personales de mexicanos. Pero antes de eso, ¿Cómo empezaste en el medio de ciberseguridad?
Bob: Es una historia muy interesante, pero haré un resumen: Trabajé en una empresa que tuvo una vulneración de datos. Realmente no una vulneración tradicional. Un investigador de ciberseguridad nos avisó que una de nuestras bases de datos estaba en internet, sin contraseña, en Mongo DB (de be) y que la información de nuestros usuarios estaba disponible: así de simple. Yo trabajaba en ese momento en el departamento de Relaciones Públicas, básicamente en la línea frontal de comunicación ante una crisis y tuve que trabajar en una estrategia de cómo comunicarles a nuestros usuarios que sus datos estaban seguros ya que nadie había consultado los datos, gracias a las bitácoras pudimos saber que nadie había tenido acceso a ellos a excepción del investigador de ciberseguridad. En ese momento, hablé con el investigador para entender los principios o cómo los datos estaban disponibles. Quedé inspirado por cómo hacía sus investigaciones y qué tan fácil era encontrar los datos. Hablé con los desarrolladores y les pregunté por qué creían que la información estaba pública y ellos sólo se rascaban la cabeza y decían que era un tema del firewall; nunca encontré una respuesta que me satisficiera, así que traté de buscar bases de datos en la misma situación. Usé Shodan, Zoomeye, buscadores similares y me sorprendí de la cantidad de bases de datos que me encontré sin protección, incluso en Google, simplemente usando la sentencia correcta de búsqueda puedes encontrar índices de SQL (ESE kU ELE)… Hace cuánto fue esto? Mi punto clave fue 2015… fue cuando tuvimos el incidente y cuando empecé a cambiar mi carrera a ciberseguridad. Tengo que decir, que mi pasado está lejos de lo técnico. Estoy más en el lado no-técnico. Originalmente estudié periodismo-
Andrés: Esto es interesante, ya que ahora eres considerado uno de los más conocidos investigadores en ciberseguridad a nivel internacional. Es muy interesante cómo llegas al tema de ciberseguridad, que obtienes conocimiento a partir de tu esfuerzo y que no vas a un salón o curso para tener acceso al conocimiento.
Bob: Es correcto, esa se convirtió en mi misión. ¿Qué tan fácil es encontrar los datos?, no necesitas ser un ingeniero o hacker o tener capacidades técnicas cuando hablas de “hackear”. Solo necesitas tus manos y conocimiento básico de dónde buscar. He usado eso como mi misión para mostrarle a la gente que, si puedo encontrar sus datos, entonces cualquier persona lo puede hacer en el mundo. Es muy impresionante, porque normalmente lo que llega a los medios, ellos suponen que eres un investigador y no un periodista. Entonces, iniciaste del otro lado, confrontaste a los técnicos, a los desarrolladores y encontraste que no entendieron qué pasó y que en algunos casos no les importa la vulneración. Ahora que andas del otro lado, que encuentras estas bases de datos, por lo menos para mí es importante preguntarte: Una vez que encontraste una base de datos con las herramientas que todos podemos usar, ya la encontraste, le avisas al dueño de la base de datos para que bajen esa base de datos. ¿Por qué lo haces así? Es muy importante resaltar esto, cuando encuentro algo que contiene datos sensibles, no lo publico para no atraer la atención maliciosa o la atención simplemente de un hacker que pueda obtener los datos. Lo primero que hago analizo el contenido de la base de datos para encontrar cualquier remanente de una empresa (quitar mi comentario de que está cabrón) o persona que administra la base de datos. Uso open source intelligence para encontrar correos electrónicos, teléfonos o algo para identificar la empresa o la persona y avisarle. Necesito contactar a la persona correcta. Quiero estar seguro de que nadie más podrá obtener la información después de que avisé a una persona o a una organización. De cualquier manera, si no hay forma de encontrar a la persona o la empresa, cuando se que esta información no debería estar en el Internet, a veces trabajo con expertos alrededor del mundo para que me ayuden, como en tu caso Andrés en México y Latinoamérica. Es así como entendí la magia de Twitter, tengo buenos contactos que les interesa y se preocupan por la seguridad y sobre la divulgación responsable de una base de datos en todo el mundo. He tenido conversaciones con personas en Brasil, Colombia, China, Europa, Estados Unidos por supuesto y me han ayudado a entender los datos especialmente cuando están en otro idioma como el español o portugués. Y en estos casos, siento el poder de la comunidad cuando estamos en el lado correcto de asegurar este internet inseguro. Siento que soy un caballero en la edad media combatiendo las fuerzas del mal o algo así, es chistoso, pero me inspira.
Andrés: Tienes razón, pero al final, la comunidad de ciberseguridad está tratando de sentar un precedente y ser más proactivo que reactivo, pero también la gente no reacciona correcta, ¿cuáles han sido las reacciones más raras que has tenido cuando les avisas que su información está pública?
Bob: El primer año que encontraba bases de datos fue muy difícil alertar a los dueños. Yo era una persona que nadie conocía, sin reputación, no tenía respaldo de la comunidad. Era simplemente una persona llamando a los encargados de Ciberseguridad o de Infraestructura. A veces pensaban que era una persona que generaba una amenaza, amedrentando, pidiendo dinero y por poco me doy por vencido al hacer este trabajo, esta actividad. Pero después, cuando me gané una reputación haciendo cosas buenas y algunos reportes, mi reputación creció y ahora cada reporte que envío regresa con agradecimiento. Entonces veo que las empresas quizá ya se han educado o quizá el tema de GDPR en Europa donde están teniendo más responsabilidad hacia los datos de sus clientes, entonces reaccionan de una mejor forma. Hoy en día es más fácil que las empresas entiendan que hay algo mal con sus bases de datos. Al principio era un gran reto.
Andrés: Ya lo creo. ¿Considerando lo que has visto y tus experiencias, hay algo diferente entre lo que pasa en los países como América Latina contra Europa? ¿Estamos hablando de el mismo comportamiento entre los CISO’s o los administradores de TI o expertos cuando les comentas de lo que encontraste?
Bob: Puedo decir que hay diferencias, por ejemplo, entre las reacciones en Europa o Estados Unidos y Latinoamérica. De hecho, México no es el peor caso, puedo decirte que lo que vi en México hoy es mucho mejor de lo que me pasó hace un año. No sé cuál es la razón, pero espero que yo también haya contribuido a la educación en ciberseguridad en México. El peor caso que tuve en estos países en América Latina, fue en Brasil. Creo que tienen problemas cuando se refiere a contactar a las empresas, no conozco las razones, pero así fue. De hecho, voy a Brasil en mayo a dar una conferencia y quiero conocer a la comunidad, ya tengo algunos contactos y hacerles la misma pregunta y quizá podamos hacer una diferencia. Posiblemente puedes también aprender portugués y bailar con ellos. Andrés: Se que has encontrado, por lo menos en los que he estado dándole seguimiento y ayudándote. Ese caso de los 2.3 registros médicos en Michoacán y el otro de los CFDI’s de nóminas que encontraste hace unos meses. En estos casos, y lo vimos en los medios, sigue el proceso y las autoridades tienen un proceso. ¿Pero, en qué estás trabajando ahora?
Bob: Esos casos en México siguen abiertos y creo que todavía voy a escuchar de las autoridades en México acerca del avance y la información adicional que necesitan para poder encontrar a los dueños de los datos. Hablo del último caso de los recibos. Esos casos están abiertos. Los casos más grandes que estoy trabajando ahora vienen de Brasil, y todavía no sé dónde reportarlo correctamente y a quién contactar. Estoy tratando de determinar cómo hacerlo, pero el tamaño de información personal es increíble. Incluyendo políticos con sus identificaciones, direcciones, correos, teléfonos, mucha información se encuentra ahí. No puedo compartir mucho por ahora, pero tendré más actualizaciones cuando vaya a Brasil e incluiré en mi presentación la información. Prácticamente todo los días encuentro una nueva vulneración que trato de hacer de forma correcto, empresas muy grandes están involucradas. EN algunos casos no publico información en empresas muy grandes, estoy haciendo lo correcto, una buena respuesta de ellos, pero no creo que todos los hallazgos se tienen que hacer públicos.
Andrés: El tiempo en los podcasts siempre quedan cortos, no hablamos de todo lo que me gustaría, pero quiero compartir con nuestros podescuchas que todo lo que has comentado, lo que has dicho, lo haces sin cobrar, lo haces probono. Compartes esto para poder lograr que la gente sepa de lo que está pasando y lo que representa. Quiero reconocerlo y agradecerte por ello. Para terminar, dos cosas: qué le dirías a los jóvenes que quieren empezar en ciberseguridad, tu empezaste hace un par de años, pero qué les dirías. Y, por otro lado, ¿cómo te pueden contactar?
Bob: Empezaré con la segunda, estoy en mi twitter disponible @MayhemDayOne o busca por Bob Diachenko o Securitydiscovery.com donde siempre hay una forma para poder contactarme, pueden hacerlo en la sección llamada “acerca de”. Es fácil contactarme. En cuanto a un tip a los jóvenes para seguir este camino, he tenido conversaciones muy interesantes con personas que quieren hacer lo mismo que yo o copiarme, necesitas preguntarte a ti mismo, por qué lo estas haciendo, solo por fama o dinero, esto no es para ti. No puedes tener este sentimiento de compartir los valores en la comunidad de ciberseguridad, trato de hacer una diferencia y hacer este internet más seguro y yo solo puedo invitar a las empresas y a los empleados de constantemente revisar sus direcciones IP’s y sus perímetros de buscadores como Shodan o Zoomeye. Siempre hay un riesgo de que tu dirección IP esté pública y que el monitor de bebés esté compartiendo el video de tus hijos al internet, lo cual asusta.
Andrés: Es muy interesante lo que dices. No me queda decir mas que gracias por tu tiempo, no sé que hora es en Ucrania, solo sé que son muchas horas por delante de nosotros. Gracias por tu tiempo y espero que podamos volver a platicar contigo de otros temas que nos ayuden a entender otras cosas.
Bob: Gracias por invitarme, estoy muy orgulloso de que puedo llamarte mi amigo, espero podamos coincidir en México o en algún lado, darnos un apretón de manos y continuar trabajando juntos para poder tener un mundo digital más seguro. Gracias