Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Thursday, July 29, 2010

Si un día

te roban el portátil y queremos tener alguna posibilidad de recuperarlo, inspirándonos en la noticia aparecida hace unos meses del ladrón que se hizo una foto con la webcam integrada y que se subió automáticamente a Internet, podemos implementar una solución similar usando DynDNS.

DynDNS es una empresa que permite asociar hostnames/dominios en el DNS de Internet a nodos con una IP dinámica que cambia frecuentemente. Para ello, la máquina monitoriza su propia IP y cuando cambia le pide al servidor de DynDNS que modifique los registros del servidor DNS asociado. Esto permite, entre otras cosas, ofrecer servicios de Internet desde máquinas conectadas a Internet con ISPs que sólo ofrecen IPs dinámicas. DynDNS vive de vender dominios y asociarlos a IPs dinámicas, pero también ofrece una serie de dominios (p.e. homelinux.org, dyndns.org o homeip.net) en los que es gratis tener hasta 5 hostnames registrados. Hay otras empresas que dan este servicio, como no-ip.com, pero sin duda alguna, DynDNS es la más conocida y, en mi opinión, el servicio que dan es de gran calidad.
Pues bien, la idea es que el ladrón encienda el portátil robado y cometa la imprudencia de conectarlo a Internet. El cliente de DynDNS se conectará a los servidores de DynDNS y actualizará la IP para el hostname que hayamos asociado a la máquina. Nosotros, simplemente mirando a qué resuelve dicha IP y viendo si cambia, podremos estar al tanto de si alguien se ha conectad a Internet con nuestro portátil y desde qué IP. Con dicha información, el paso siguiente es ir con una factura de compra en la que aparezca el número de serie del portátil y la IP obtenida a la comisaría más cercana a poner una denuncia. Si la policía hace bien su trabajo, contactará con el ISP asociado a la IP para pedirle información sobre quién ha tenido dicha IP en el día tal a la hora cual. El ISP debería ser capaz de asociar una IP en un instante de tiempo con una localización física. El problema que podemos tener es que la conexión se haya hecho, no desde un hogar, sino desde un lugar público como un hotel, un Ciber Café o una red WiFi pública. Esa es la teoría pero, ¿funcionará en la práctica? ¿se tomará la policía la molestia de contactar con el ISP por recuperar un portátil valorado en algo más o algo menos de 1000€?
Como mínimo, aunque no podamos recuperar el portátil, siempre podríamos haber tenido la precaución de dejar un servidor SSH abierto (en Windows lo podemos hacer con Cygwin: Servicios en Cygwin (syslogd, sshd, telnetd, ftpd, nfsd, etc.)) que nos permita investigar sobre quién es el ladrón o incluso para recuperar o borrar la información que podamos tener en el portátil. Si la nueva IP se registra correctamente al hostname que le hayamos asignado podríamos simplemente hacer un “ssh miportatil.dyndns.org” para entrar en el portátil… siempre que el portátil no esté tras un router que esté haciendo NAT. Al menos deberíamos haber configurado previamente el firewall integrado de Windows para que permita tráfico entrante al puerto 22.
Hay varios factores que facilitan que esto funcione:
  • Que el sistema operativo por defecto sea Windows. Si sólo tenemos Linux o tenemos ambos sistemas pero el sistema por defecto es Linux, es posible que el intruso, ante el desconocimiento del sistema que se le presenta no vuelva a intentar arrancar el portátil y/o lo reinstale.
  • Que se pueda entrar al sistema operativo sin contraseña (lo que implica no poner contraseña de arranque en la BIOS también). En caso contrario, el intruso tal vez sólo lo pruebe una vez y ya no lo intente más veces. Si vamos a permitir eso, no hay que olvidar que la información sensible ha de almacenarse cifrada.
  • Tener bien configurado el sistema para que se conecte a Internet sin restricciones (por ejemplo, los firewalls personales instalados en el sistema podrían impedir la conexión del cliente de DynDNS).
En realidad, esta idea no es muy novedosa y hay multitud de aplicaciones pensadas precisamente con este fin: Laptop tracking software. Sin embargo, la solución con DynDNS nos permite hacer prácticamente lo mismo sis tener que pagar una suscripción. Al fin y al cabo, tampoco podemos hacer nada sin contar con la policía.
El cliente de DynDNS oficial para Windows es el DynDNS Updater. Para sistemas Linux hay varios clientes, siendo el ddclient uno de los clientes más populares y de hecho, ya viene en muchas distribuciones como Debian.
El primer paso es crear una cuenta en DynDNS. A continuación, vamos a añadir nuevo hostname donde elegiremos un dominio y un hostname que no estén usados (en mi caso miportatil.dyndns.org) y crearemos el dominio:
DynDNS new hostname
A los pocos segundos de crear el hostname, ya podremos comprobar que su resolución funciona:
$ nslookup miportatil.dyndns.org
Server:         80.58.61.250
Address:        80.58.61.250#53

Non-authoritative answer:
Name:   miportatil.dyndns.org
Address: 83.34.128.243
y además, podemos ver en la lista de hosts que hemos creado la hora de la última actualización, dato importantísimo para nuestro propósito:
DynDNS update time
Ahora es cuestión de configurar los clientes de actualización de DynDNS. El DynDNS Updater es bastante sencillo de usar, y tenemos una buena guía de su uso en DynDNS Updater Installation Guide. Para nuestro propósito, lo más importante es instalarlo como servicio de Windows, de forma que si tenemos pantalla de login, la actualización la haga incluso sin registrarnos en el sistema siempre que el portátil esté conectado a Internet.
DynDNS Updater install service
Para usar el ddclient en Debian sólo tenemos que hacer un “apt-get install ddclient” y responder a las preguntas que nos van saliendo:
ddclient step 1
ddclient step 2
Tras esto, introducimos el usuario y el password de DynDNS y finalmente, especificamos el interfaz conectado a Internet con una IP dinámica:
ddclient step 3
Esto nos dejará una configuración en el /etc/ddclient.conf como esta:
pid=/var/run/ddclient.pid
protocol=dyndns2
use=if, if=eth0
server=members.dyndns.org
login=XXXXXX
password='XXXXXX'
miportatil.dyndns.org
Si el interfaz especificado no está realmente conectado a Internet sino a un router que hace NAT, tendremos que especificarle que la IP usada actualmente es la que devuelve la página web http://checkip.dyndns.org/ cambiando la línea del use=if por esta:
use=web, web=checkip.dyndns.org/, web-skip='IP Address'
Tras esto, la máquina chequeará, cada 5 minutos (configuración del demonio en /etc/default/ddclient) la IP pública y actualizará con ella el hostname de DynDNS si ha cambiado.
Para comprobar el buen funcionamiento del cliente, nuestro mejor amigo es el comando “ddclient -v“.

Conclusiones

Con esta entrada sólo pretendo hacer reflexionar sobre qué podemos hacer de antemano pensando en si un día nos roban el portátil. En forma de resumen, aquí tenemos los pasos más importantes:
  • Tener siempre backup de la información importante (por ejemplo con rsync).
  • Cifrar la información sensible que almacenemos en el disco (por ejemplo con TrueCrypt).
  • Leer bien la documentación del portátil para entender qué características de seguridad nos proporciona de fábrica y poder hacer un uso correcto de ellas sin correr riesgos de pérdida de datos.
Tras estos pasos fundamentales, podemos querer seguir dos caminos:
  • Bloquear el acceso físico al portátil con contraseña en la BIOS para el arranque y para el disco duro.
ó
  • Permitir que la máquina arranque en la esperanza de que sea conectada a Internet y por medio del cliente de DynDNS que se actualice la IP de forma que podamos, o conectarnos a la máquina, o al menos, poner una denuncia que facilite la localización efectiva de la misma.

Páginas de geolocalización de una IP

Documentación de fabricantes sobre seguridad física de sus portátiles

Enlaces a las páginas que me han sugerido la entrada

 - Poner acceso a la partición Win Xp por defecto (con poco tiempo para elegir sería perfecto para no asustar al ladrón)
- Crear una cuenta sin contraseña por defecto (si no es administrador mejor que mejor)
- Quitar el arranque desde cd por defecto del BIOS (complicar la reinstalación del S.O.)
- Contraseña para modificar los parámetros del BIOS

No comments: