-[ 0x11 ]-------------------------------------------------------------------- -[ Hacking: Solo para criminales? ]------------------------------------------ -[ by Madfran ]------------------------------------------------------SET-22-- UN POCO DE FILOSOFIA -------------------- En este primer mes del nuevo milenio, han pasado por mis manos (y por otras mucha mas), dos noticias con un algunos puntos comunes. Nuevas tecnologias, robo de informacion, ..... castigos ejemplares (y falta de ellos). Me gustaria compartir con vosotros, algunas de las reflexiones que me he hecho, o sea, este articulo no va a ser un pe~azo de tratado tecnico sobre las rendijas de seguridad en los programas basados en Windows,..... sera un tocho sobre filosofia general y escarmiento en cabeza ajena (algo que todo el mundo sabe, pero que no siempre sabemos aplicar). PRIMER INPUT ------------ Pasemos a la primera noticia. Corria el 20 de Enero de 2000, estaba sentado placidamente en la silla, tras la mesa de mi despacho, intentando olvidar las ultimas majaderias que tuve que soportar en la enesima reunion sobre motivacion empresarial, cuando el beep de mi ordenador me informo que un nuevo e-mail acababa de llegar al servidor local de nuestra red corporativa. Mi primera idea fue dejar que reposara en las entra~as de la maquina infernal, pero mi reconocido sentido del deber (y el miedo a perder el puesto de trabajo), me impulso a mover mi mano sobre el raton y abrir el cliente de mensajeria, que permanecia, comodamente alojado, en segundo plano de las tareas de mi PC. Este acto tuvo su premio (dicen que todos los sacrificios tienen finalmente su recompensa), y en lugar del e-mail informando que el modulo RESI8 del nuevo sistema integrado de contabilidad SOP3, habia sido instalado con exito,en la region de Sanscracia (...pobres usuarios !), aparecio en mi pantalla el mensaje diario, con el resumen de las noticias mas importantes, de la publicacion a la cual estoy, gratuitamente, subscrito. Rapidamente pase las noticas internacionales, economicas y demas, iba ya a borrar sin mas el mensaje del servidor ( ah! iluso! seguro que guardan una copia de todo lo que recibo), cuando algo capto mi atencion : "DESARTICULADA UNA RED DE DEFRAUDADORES DE LINEAS TELEFONICAS A TRAVES DE INTERNET" Como la noticia no tiene gran cosa que ver con el trabajo por el cual me pagan, uno tiene cierto orgullo profesional y tenia otras cosas que hacer, imprimi rapidamente la noticia, con la sana intencion de leerla comodamente en casa. De vuelta a mi dulce hogar, mientras soportaba los habituales atascos que comtribuyen a mejorar mi proverbial buen caracter, la radio no hizo mas que recordarme la notica que llevaba impresa en mi maletin. O sea, que cuando finalmente llegue, me sabia de memoria lo que todavia no habia tenido tiempo de leer. Total no era gran cosa, no entendia el porque de tanto bombo y platillo. En resumidas cuentas, se trataba que nuestro bienamado cuerpo de la Guardia Civil en Spain (Grupo de Delitos de Alta Tecnologia), con su capitan Don Anselmo del Moral al frente, habian "conseguido desarticular una red de defraudadores en lineas telefonicas a traves de la red Internet..." [........estooooooo.... probablemente es al reves (pense yo), algunos desgraciados, han estado conectados a Internet utilizando lineas telefonicas de propiedad ajena.] "..., lo que tecnicamente se conoce como freakers,..." [me imagino que habran querido escribir phreakers] El articulo, continuaba explicando, de una forma un poco confusa, que en una operacion que habia durado mas de un a~o y de nombre Millenium, habian detenido a 55 personas, de ellas doce en Barcelona (Spain). Dichas personas estuvieron utilizando lineas 900, sin derecho para ello, con gran regocijo de todos los chats enterados de este pais (y otros de misma lengua) y gran pasividad de los legitimos propietarios. A continuacion algunos numeros entresacados del susodicho articulo : - ..algunos casos ascienden a unos diez millones de pesetas mensuales - ..llamadas por importes superiores a las 50.000 pesetas - ..empresas afectadas, Microsoft, Toshiba Reflexionemos un poco. Cualquiera que este minimamente habituado a leer soporiferos informes en una multinacional, sabe que cuando se escriben cosas asi, significa que hay UN caso de 10 millones y UNA llamada de 50.000 pelas. Si seguimos reflexionando y nos fijamos en nombres como Microsoft (os suena?) caereis en la cuenta que a empresas de este tama~o les importa un rabano este tipo de robos (solo se preocupan, cuando les saturan un servicio) y hubiesen pagado por no salir en la noticia. Si a esto a~adimos algunos detalles (Millenium, principo de siglo, etc), llegareis probablemente a las siguientes conclusiones : - Esto es un montaje publicitario. - Los pobres desgraciados de la cacareada red, eran simples soplapollas. (sin animo de ofender a los que, dignamente, se dediquen a soplar pollas, caso, de que dicho oficio exista). [ Nota Editorial: Opinion puramente de Madfran, no necesariamente compartida por si no alguno no sabia para que esta el disclaimer.] Mas que nada, porque soy un poco masoquista, mientras me bajaba los mensajes en mi casa, me conecte con la web de La Guardi Civil (www.guardiacivil.org por si a alguien le interesa) y lei su version de los hechos delictivos. Pues nada del otro mundo! (bueno, al menos escribian bien phreaker), daban algunos datos mas (nombres como DANKO, COM 30, etc) y tres (tres se~ores, tres!), fotografias relacionadas con el hecho. - Un cable conector - Un mapa de Spain - Un sofa mugroso, con papeles encima ....archive en algun recondito lugar de mi cerebro la informacion recibida y no pense mas en el asunto.......hasta el 29/01/2000. SEGUNDO INPUT ------------- En este caso el escenario es distinto. Sabado por la ma~ana, comodamente sentado en una cafeteria, leo el diario (evidentemente, version papel), mientras simultaneamente intento aparentar un enorme interes en lo que mi compa~era de fatigas, me dice. Una noticia a media pagina, me salta a la vista : "El pinchazo global" Aqui el tema era mucho mas serio. Un informe elaborado, a peticion del Parlamento Europeo, por un periodista especializado (un escoces llamado Duncan Campbell), ha sacado a la luz, una red de espionaje industrial. En este caso el asunto era un poquito mas interesante. Aparentemente la Agencia Nacional de Seguridad norteamericana (NSA), la CIA, el Departamento de Comercio (DOC) de EE.UU y la Agencia de Comunicaciones Gubernamentales del Reino Unido (no me invento nada, solo transcribo), han estado interceptando las comunicaciones entre las compa~ias europeas y sus posibles clientes. Objetivos ? Pues bastante claros. La firma "Y" de Alemania esta negociando un contrato para cambiar los radares de todos los aeropuertos de Africania. Si estas pinchando las comunicaciones de la sede de Y, (todo eh!, telefonos, faxs, lineas dedicadas, mobiles,...), te enteraras de la cantidad que estan ofreciendo oficialmente, la que ofrecen extraoficialmente, la que quieren dar al funcionario tal, que nadie sabe que existe, pero es que realmente decide al final. Si esto no es suficiente, puede que te enteres de los lios privados del que mueve los hilos en la firma "Y" en este asunto, porque hizo aquel viaje tan raro acompa~ado por la prima Emilia (que segun parece, no tiene el menor parentesco con golfante en cuestion) e incluso de sus enfermedades inconfesadas (tiene almorranas!) o de su fiel secretaria (aprovecha el momento en que tiene su visita periodica al galeno, para cambiar algo en un documento en el ultimo momento, total, el golfante tampoco se lo lee.) Consecuencias ? - Perdida de contratos de la firma francesa Thomson con el Gobierno de Brasil, por un valor de 216.000 millones de pesetas. - Perdidad de contratos entre Airbus y el Gobierno de Arabia Saudi por en valor de un billon de pesetas. - ......ya basta, no ? Medios ? - 40 satelites espias. - Submarinos. - Profesionales en escuchas telefonicas. - .....venga !, ya esta bien .... Entre los sofisticados medios de que disponen estos chicos, esta (segun el periodista), un super programa, capaz de descifrar cualquier clave secreta, llamado N-gram. Bueno,... creo que esto ya entra dentro de la cultura ( o falta de ella) del escritor del articulo, porque si navegais cinco segundos por Internet, os podreis enterar que el N-gram es solo una estrategia matematica empleada en los programas de reconocimiento de voz. Volvamos a nuestro articulo. Que me dices ? ...., perdidas millonarias,..... espionaje a nivel mundial,.....grandes medios en juego,.....aqui seguro que van a caer cabezas ! Con sumo placer morboso, continuo la lectura del articulo y.... nada ! Aqui no hay culpables, aqui no han jueces, aqui no hay ..... nada ! Timidamente, la Eurocamara debatira el tema en febrero de 2000 y el Senado belga tenia que hacerlo el 31/1/2000. Os puedo ahorrar la busqueda por las hemerotecas de Internet, porque ningun periodico de Spain se hizo eco de ningun debate en Belgica por este tema. Esto me recuerda el viejo chiste. "Si debes un millon de pelas al banco, tienes un problema. Si debes mil millones, el problema lo tiene el banco" [ Daemon: Sobre el tema de la criminalizacion del hacking ya se escribio en SET 13 (febrero 98) apuntando motivos y culpables. Sobre la comparacion con los delitos "reales" como Echelon tambien escribio un tipo muy avispado ;-) en SET 14 (Abril 98) algo como: "Esta vigilancia esta vulnerando la leyes de todos los paises, los derechos constitucionales que protegen la privacidad y la intimidad. Y que?. NADA. Mientras que la policia y el Estado se afana en empapelar a un chavalillo de 17 a~os porque ha entrado en un ordenador y acaso ha borrado un directorio o ha alterado una pagina web SE BAJAN LOS PANTALONES cuando se trata del poder yanki y todo lo mas seran capaces de hacer alguna "condena" o "declaracion institucional" con la que los chicos de Fort Meade se limpiaran cierta parte de su cuerpo." Reconfortante ver como pasa el tiempo y nada cambia. :-( ] CONCLUSION ---------- Si eres un pelagatos, ni se te ocurra estafar mediante algo que huela a Internet. Entre las estafas incluye cualquier cosa que se acerque a lineas 900, tarjetas de credito, uso indebido de lineas telefonicas ajenas,... Porque iran a por ti. Con cualquier excusa, cambio de milenio, necesidad de ahogar otro escandalo, falta de espacio que rellenar en las paginas del periodico,.... cualquiera ! es buena ! Y como eres un pelagatos, no tendras dinero para pagar un abogado (ni bueno ni malo) y acabaras con tus huesos en la carcel, con el culo un poco mas amplio que cuando entrastes, te habras quedado sin trabajo, tus amigos te miraran por encima del hombro (sobre todo los que considerabas fieles y confiables), tu novia se habra ido con tu mejor amigo (que resulto serlo de ella), los vecinos saldran del ascensor cuando entres (...esto tiene sus ventajas) y un largo etcetera. Que no me quieres hacer caso, ya que piensas que soy un agente de Telefonica disfrado de hacker/pacotilla ?...pues escondete ! escondete en la multitud. Peque~as facturas telefonicas. Cambia de numero 900 a menudo. No digas a nadie lo que haces. Cambia de conexion a Internet. Cambia y escondete. Que esto es muy triste y solitario ? Pues lee el parrafo justo despues de la palabra CONCLUSION. Si te quieren coger, te cogeran. No hay posibilidad de que tu clave PGP sea inviolable. Si quieren cazarla, lo haran. Todavia recuerdo como me costaba encontrar un password de seis caracteres hace dos a~os con la mejor maquina de la epoca ! El otro dia hice la prueba y tarde un par de horas. Yo, que tambien soy un pelagatos, he mejorado enormemente mi capacidad de crackear una password por fuerta bruta. Imagina lo que pueden haber hecho ellos, con los medios de que disponen. Tu unica posibilidad ? - Su avaricia - Su estupidez - Su pereza Nunca iran tras de ti, si el costo de la busqueda es superior al da~o que les causas. Nunca iran tras de ti, si te escondes entre la multitud y la busqueda es complicada. Nunca iran tras de ti, si eres rapido con los cambios. Pero,.... siempre hay excepciones a las mejores reglas universales (vease PRIMER INPUT de este articulo) y cuando te cacen recuerda los diversos articulos en SET que han aparecido sobre este tema. A pesar del riesgo de que penseis que estoy haciendo publicidad encubierta, os trasmito un ultimo consejo. Si os pasais por la web del bufet de abogados Almeida (www.bufetalmeida.com), vereis al final de la pagina una frase "se aconseja cifrar las consultas via e-mail" Yo de vosotros seria prudente. Ya se que es un pe~azo a veces el tener que cifrar los mensajes y tener que ir a cuestas con las llaves, pero procurad ser un poco menos vagos que ellos y no se lo pongais facil. Recordar que una de vuestras mejores armas es .... su pereza ! madfran [ Daemon: En general sobre todo este tema de hacking satanizado, medios buscando carnaza y sacando a gente que tira servidores y pasma buscando medallitas y aparecer como tecno-edge state-of-the-art police ya hemos escrito lo suficiente. A los lectores de SET nada de esta movida puede pillarles de nuevo. Para eso lo machacamos en su momento :-). ] *EOF*