Aniversario Perú Domingo, 23 agosto 2015

Encontramos cuentas de empleados públicos en el leak de Ashley Madison

Aniversario Perú

soy Biólogo, PhD. Hobbies: investigador en usos de las TIC, periodismo de datos, nerd, etc.

El leak

Los hackers responsables de robarse toda la lista de usuarios de la Web para aventuras amorosas han publicado casi 10 gigabytes de información en un archivo torrent.

La vida es corta. Échate una canita al aire.

La vida es corta. Échate una canita al aire.

Periodistas de la agencia Associated Press decidieron descargarse todos los datos y emprender una investigación periodística que encontró que congresistas y cientos de empleados públicos de EEUU son clientes de esta web de tramposos del amor. Si bien cada uno hace lo que da la gana con su vida privada, según Associated Press, el problema es que estos empleados públicos usaron computadoras y la conexiones de internet de sus oficinas estatales y federales para acceder a sus cuentas de Ashley Madison.

Se puede hacer esta averiguación para el Perú?

Hace unos días me fijé y habían 6 mil personas compartiendo los archivos (seeders) y más de 5 mil personas descargándolos (leechers).

2015-08-22_ashley_maddison_01

Decidí descargarme los datos para ver si mi email estaba registrado como usuario de Ashley Madison.

Luego de descargarlos me di cuenta que los archivos estaban comprimidos. Estos son los archivos .dump.gz que se descomprimen con esta herramienta de Linux:

gunzip archivo.dump.gz

Para leer los archivos es mejor guardarlos en una base de datos MySQL lo cual se puede hacer fácilmente con este otro comando:

mysql ashley -uuser -ppassword < archivo.dump

Luego de esperar un largo rato tendrás todo listo para hacer búsquedas de emails. Me busqué usando el comando select pero no me encontré:

2015-08-22_ashley_maddison_02

Por curiosidad busqué cuantos correos válidos de dominio .PE existen en el leak. Hay 908 email confirmados (usarios que recibieron un email de confirmación de Ashley Madison e hicieron click en «confirmar»).

2015-08-22_ashley_maddison_03

Hay emails de universidades peruanas, institutos peruanos, escritores peruanos, ingenieros peruanos, defensores de Nadine, haters de Nadine, etc.

Sin mucho esfuerzo, también es posible cruzar una lista de emails con la base de datos y ver cuáles han sido clientes de Ashley Madison.

Un archivo que tenga una lista que sea así:

email1@gmail.com
email2@yahoo.com
email3@hotmail.com
etc
etc

Se puede cruzar con la ayuda de un pequeño script en Python:

Solo basta correrlo con el comando:

python search_emails.py email_lista.txt

Casos preocupantes

Entre estos correos peruanos (confirmados) hay 7 que son del dominio .GOB.PE. Esto significa que empleados públicos usaron cuentas que les dio el Estado para entrar a este sitio web de trampeo.

2015-08-22_ashley_maddison_04

Hay 3 emails que son del dominio .MIL.PE. Esos son emails de militares? Ya peeeee.

2015-08-22_ashley_maddison_05

Esto no es mal uso de recursos del Estado? Se supone que para estas cosas privadas deben usar su correo personal en Gmail u otro no?

https://twitter.com/srotta/status/635417886975258624

https://twitter.com/srotta/status/635417886975258624

El leak también incluye IPs

Además de coordenadas geográficas. Los administradores de Ashley Madison guardaban las direcciones IP y ubicación geográfica desde el aparato que usaban sus usuarios para conectarse al servicio.

Estos datos geográficos son los que permitieron a Associated Press ubicar congresistas y cientos de empleados públicos de EEUU que usaron computadoras estatales para acceder a sus cuentas de Ashley Madison.

También incluye transacciones de tarjetas de crédito

Cualquier investigación fiscal o periodística puede acceder a las transacciones de tarjetas de crédito liberadas en el leak y darse cuenta si los emails encontrados en la base de datos son verdaderos o no. Estos hackers son terribles.

Ay pero una cuenta de email no cuesta nada

Esto no es cierto y Google tiene la culpa de la ilusión que no cuesta crear y mantener cuentas de email. Los hackeos pasados a los emails oficiales de los ministros peruanos han puesto en evidencia una cosa: el Estado peruano tiene sus propios servidores de cuentas de email. Y hacer esto es bien caro. Tienes que tener:

  • servidores
  • discos duros para almacenar email
  • sistema redundante del tipo RAID
  • copias de seguridad
  • software especializado front-end, back-end
  • balance loaders para distribuir la carga entre varios servidores
  • software bayesiano anti-spam
  • personal técnico que dé mantenimiento y maneje todo este sistema.

Lo más difícil debe ser manejar el software para el servicio de email. No es cuestión de instalar un programa y ya. Hay que instalar, configurar y mantener numerosos software que deben funcionar en una delicada sincronización.

Además los ingenieros de sistemas que manejan estos servidores en el Estado ganan entre 7mil y 10mil soles [PDF] al mes. No cobran con canje. Me parece bien que tengan buen sueldo. Pero el gasto en personal que mantenga los sistemas informáticos no es un ripio.

Es posible además que todo este hardware + software + entrenamiento haya sido vendido al Estado como un paquete completo por parte de IBM, o Microsoft. Como tú comprenderás, ellos no cobran barato. Por ejemplo, según el portal de Transparencia del Ministerio de Economía, el Estado peruano le paga cada año a IBM entre 4 y 64 millones de soles por hardware y software. Claro que no todo se gasta en mantener el sistema de emails, pero al menos una parte de tantos millones debe servir para eso.

2015-08-20_ibm

Aniversario Perú

soy Biólogo, PhD. Hobbies: investigador en usos de las TIC, periodismo de datos, nerd, etc.