-[ 0x04 ]-------------------------------------------------------------------- -[ En linea con... Mixter ]------------------------------------------------- -[ by Paseante ]------------------------------------------------------SET-23- Cuando comence esta seccion, hace mas de dos a~os, mi idea era que sirviese para acercar a la gente en general algunos de los personajes mas conocidos del underground hispano, creo que hemos cumplido bastante bien esta tarea. Sin embargo en un ambiente tan peque~o y cerrado como este cada vez es mas dificil pensar en alguien valido para esta seccion maxime cuando la mayoria de ezines de Espa~a, casualmente o no, se han apuntado a incluir entrevistas a potenciales candidatos a aparecer aqui. Al retomar esta seccion he decidido abrirla, a partir de ahora no hay 'vetos' ni limitaciones de origen aunque por supuesto seguiremos dando trato preferente a la comunidad hispana pero ya no seran necesariamente los unicos. En Linea con .... -[ M I X T E R ] - Quien no ha oido hablar de el?. Fue el hacker mas buscado, polemico y hasta vilipendiado cuando la histeria de los ataques 'distribuidos' estaba en su punto algido. Pero Mixter es mucho mas que un joven programador aleman, autor del famosisimo programa de DDOS (Distributed Denial of Service) TFN (Tribal Flood Network), es un autentico investigador que tiene muchas cosas que contarnos... P- Mas alla de lo que pone en tu pagina personal, cual es tu historia?. Como empezaste en este mundo? Bueno, tuve mi primer ordenador con 8 a~os, un C64, despues muchos mas, el inicio tipico con los ordenadores. Siempre me intereso programar pero solo me he puesto con C en serio desde hace un par de a~os. Rapidamente empece con programas de redes, aprendi bastante desarrollando eggdrop y comence a desarrollar herramientas de seguridad y de 'penetration testing', segun me surgian ideas iba escribiendo nuevas herramientas. Esta sigue siendo mi principal motivacion, programar y desarrollar nuevas ideas. P- Sabemos lo que has hecho en el pasado pero que nos puedes decir de tus proyectos actuales. Y que podemos esperar de Mixter en un futuro proximo? Quieres decir ademas de mi proyecto de nuevo orden mundial? :P Principalmente trabajo en una startup israeli dedicada a la seguridad, se llama 2XS, trabajo con Analyzer (el tipo que hackeo el Pentagono) y nuestro primer proyecto "publico" sera un escaneo de todo Internet, quiero decir que vamos a buscar las vulnerabilidades mas importantes usando como indicativo las versiones de servidores, luego contactaremos con las redes vulnerables. Creemos que esta es la unica manera de mejorar de manera significativamente la seguridad de Internet ya que hay un 30% de maquinas aproximadamente, con administradores que no se estan preocupando de la seguridad ni de efectuar auditorias simplemente porque desconocen el problema. Aparte de eso tengo otras cosas entre manos, diriamos que en 'background', mientras intento juntar gente para trabajar en ellas por ejemplo mejoro herramientas antiguas como NSAT y si, puedes esperar algunas tools exclusivas y novedosas. Me he unido a un grupo de desarrollo que ha montado cDc, se llama hacktivismo, vamos a lanzar algo realmente interesante pero no te puedo dar muchos detalles por ahora, solo la URL :) http://www.cultdeadcow.com/hacktivismo.html P- Recuerdo el caso, se armo un buen jaleo buscando a Analyzer. Como entraste en contacto con el? Analyzer buscaba gente para la compa~ia que ha fundado y me envio un mensaje porque le gustaba lo que escribia en bugtraq y mi codigo. No se trata de ninguna conspiracion ni nada relacionado con tfn2k. :> P- Un detalle curioso es tus multiples cambios de pagina. Has tenido problemas de censura? Oh, las paginas de tripod/xoom, etc las deje porque el servicio era muy malo. Incluso en Tripod alguien crackeo mi pagina (casi me hizo un favor :P). Con mixter.void.ru que esta hospedada por los "whitehat" Team Void tuve algunos problemas -tras los ataques DoS de Febrero el FBI contacto con la policia secreta rusa para que cerrasen el site- Durante esa epoca uno de los miembros de Team Void desaparecio en Rusia, me refiero a desaparicion fisica (en esto tendras que creerme..). Aunque ahora la pagina vuelve a estar accesible. P - Cuando uno piensa en hackers alemanes piensa en CCC, que relacion mantienes con el Chaos Club? Hacen una buena labor, no mantengo mucho contacto con ellos. Creo que empezaron a fijarse en mi y a respetarme cuando sucedieron aquellos ataques en febrero. Si no me equivoco han traducido algunos de mis docs como el paper que escribi para packetstorm, para su zine "datenschleuder". P- Formas parte de algun grupo? En los ultimos meses fui miembro de Buffer0verfl0w Security, un grupo de seguridad que escribio unas cuentas herramientas, descubrimos cosas como los 'format bugs' y bueno..., we 0wn3d apache.org ;).. eramos whitehats y creo que bastante buenos. El grupo se acabo, ya sabes empiezas a perder el control, la organizacion se viene abajo, hubo gente que se unio al grupo y utilizo los exploits privados para tradear..al final la gente que realmente valia la pena en b0f se cabreo y se largaron. P- Entonces que opinion te merece lo que se conoce como "escena" y todos esos "haX0rs groups"? Me repatean los grupos de script-kiddies o los que se dedican al defacement, en general prefiero trabajar solo o con gente como Team Void porque todos esos grupos que se toman a si mismos tan en serio no me van. Tampoco los que se organizan jerarquicamente siguiendo el ejemplo de los grupos de warez. P- Estoy cansado de leer noticias provinientes de USA dedicadas al "ciberterrorismo" y del peligro de los "ciberterroristas". Crees que realmente existe este problema o nos estan intentando vender humo? Me parece una buena observacion, los "ciberterroristas", "cibercriminales" o "cibervandalos" son las ultimas cabezas de turco usadas por los gobiernos para introducir regulaciones en Internet. Claro que hay gente haciendo el gilip*llas en Internet, como los 'DoS kiddies' y unos cuantos criminales de poca monta intentando conseguir numeros de tarjetas de credito o penetrar en cuentas bancarias. Pero si voy a mi diccionario on-line preferido y busco la definicion de "terrorismo" encuentro: "uso de la fuerza o violencia por una persona o grupo organizado contra la gente o la propiedad para intimidad o coaccionar a la sociedad o a los gobiernos por motivos ideologicos o politicos" No me parece que nada de esto este sucediendo porque un chavalin crackee una pagina web, lance un DoS o nada de lo que pueda hacer una pandilla del IRC. Por supuesto que atacar ordenadores ajenos es estupido e incorrecto y debe continuar siendo ilegal. Pero no cuadra con la definicion de "terrorista", como no sea que te "aterrorices" cuando alguien entra en tu sistema y empieza a tocarte la moral. P- En ese caso supongo que no hay razones para preocuparse por lo que ya se ha bautizado como "Digital Pearl Harbour", o realmente podria suceder algo asi?. Hasta donde podria llegar un ataque? Dejando de lado la posibilidad de que algun "evil h4x0r" haga explotar tu PC creo que hemos visto casi todo lo que es factible. Supongo que lo que nos espera son mas incidentes tipo "ILoveYou" en que millones de ordenadores publicos y privados (incluso militares) sean infectados, y tal vez algun kiddie mas dedicandose al DDOS pero aunque este tipo de incidentes causa da~os ni remotamente se pueden cifrar en miles de millones de dolares. A medida que ocurran este tipo de ataques habra personas que extraigan provecho de las consecuencias y se protejan mientras que otros..pues no. Si te paras a mirar nadie resulta muerto o herido asi que el mayor impacto lo proporcionaran los medios de comunicacion con sus habituales exageraciones, ya veo mi buzon lleno de resumenes de noticias de seguridad :P P- Uno de los temas candentes es la criptografia, que opinas de todo el revuelo sobre la "cripto debil" y el deposito de claves? Si piensas un poquitin veras que no hay manera de creerse que debilitar los productos criptograficos lleve a una mayor seguridad. No, realmente no hay quien se lo trague, es otra de esas ilogicas ideas que el gobierno y nuestros amigos de la NSA quieren que creamos. En Internet cuando censuras algo solo haces que sea mas dificil de encontrar no que desaparezca. El caldo de cultivo perfecto para que los criminales negocien con ella mientras que la gente que no esta al corriente de estos temas acaba siendo la unica perjudicada. P- Crees que Internet se ha inclinado ante el dinero?. La comercializacion de la red puede suponer la "coartada" para aprobar leyes restrictivas? Personalmente no estoy en contra de hacer negocios en Internet porque eso es lo que ha motivado su crecimiento espectacular en los ultimos a~os. La gente que pone negocios en Internet tiene dos grandes problemas: la seguridad y la regulacion legal. A lo que me opongo es a la legislacion sobre Internet si pretende ser impuesta a la fuerza, unos niveles de proteccion contra "hackers" o algunas leyes sobre Internet que sean principalmente guias de actuacion no serian da~inas pero ya sabemos que el gobierno hace las cosas a su manera, lo que quiere es 'atar' Internet como tiene atadas las demas cosas y cojer su (muy grande) porcion de pastel. Asi que no podemos culpar a los empresarios de todo (excepto de su ingenuidad cuando se trata de la seguridad) Muchos ejecutivos y admins estan obsesionados por conseguir mayor regulacion gubernamental contra "hackers" pero no se dan cuenta de que esa regulacion limitara en primer lugar su libertad de negocio y su libertad personal. P- Volvamos al pasado, algunos meses atras comienzan a caer varios de los sites mas visitados de la red (Yahoo/eBay/CNN..), aparentemente para ello se usa un programa que tu has escrito, los medios de comunicacion de todo el mundo se vuelven locos y de pronto Mixter pasa a ser el hacker "most wanted" ;-). Como reaccionas frente a esta voragine? En algun momento te sientes maltratado por la imagen que se crea de ti? Mentiria si dijese que no estaba algo nervioso, pero conozco mis derechos. Lei todos esos reportajes que sugerian que yo debia ir a la carcel con una sonrisa. Me llego un aluvion de mensajes de periodistas de todos los medios de comunicacion, cuando crei necesario dejar algun punto claro los conteste y creo que eso ayudo a avivar el interes. En general fue divertido, estaba fuera de mi control, me sentia simplemente como una "pieza de caza" de los medios, es algo que en ocasiones les pasa a los que pertenecen a la "scene" pero me duele un poco que antes de todo eso no se le prestase mucha atencion a mi trabajo y tras el revuelo mediatico mucha gente me aupase a la categoria de "eleet". Al final aprendi mucho sobre como trabajan los grandes medios pero no fue nada que vaya a tener un gran impacto o influencia sobre mi vida. P- Esperabas que alguien usara tus programas con el objetivo de lanzar un ataque como el que se produjo? No crei que fuesen a utilizarse para tumbar webs, pensaba que lo usarian en las tipicas guerras de IRC, ya sabes para tomar el control en el IRC y cosas similares, no anticipe que fuese a ir mas alla de eso. Subestime la estupidez de los "IRC h4x0rs" que demostraron ser capaces de hacer cualquier cosa para obtener publicidad. Escribi TFN2K como una prueba de concepto de todo lo que se podia hacer, habia una especie de "ceguera" comun, incluso entre los expertos en seguridad, sobre defectos comunes y conocidos. TFN2K se valia de una serie de vulnerabilidades (IPv4 spoofing, troyanos, hosts con gran ancho de banda poco protegidos, dificultad de coordinar esfuerzos de defensa, broadcasts..) que ya habian sido descritas. P- Despues de algun tiempo la policia arresto a un chaval canadiense con el nick "mafiaboy", que es lo que piensas de el? Afortunadamente pronto quedo claro que yo *no* realice los ataques pero para algunos lincharme seguia sonando como una idea atractiva... :) No me interesa mafiaboy, solo es uno de los 200 kiddies mas poderosos de EFnet, por que deberia interesarme? En este caso creo que se han pasado con el y toda esa vigilancia, restricciones, investigacion..Lo que tendria sentido como castigo por estas actividades serian cargos civiles por el da~o que puede ser probado *objetivamente*, no estamos hablando de grandes crimenes, mas bien de allanamiento y da~o a la propiedad. P- Se puede hablar de un antes y un despues de la seguridad en la red tras aquellos titulares de "It's the web under attack!!", tus programas para DDOS impactaron a la comunidad lo suficiente como para que se abriese un debate sobre la "full disclosure", incluso Bruce Schneier consideraba un error haber puesto a disposicion publica esos programas. Crees que de ahi derivan iniciativas como la RFPolicy? La RFPolicy en mi opinion pretende solventar otro tipo de problemas, el de la gente que publica exploits sin notificarle antes al vendedor y sin esperar a que haya una solucion disponible. Hay que ser consciente de que deberiamos darle un tiempo minimo al vendedor para que lance un parche de emergencia. Lo mas usual ahora mismo no es hacer esto sino publicar exploits 'capados' que no puedan usar los script kiddies pero para los que se dedican a hacer tests de penetracion remota y tienen que estar atentos a los nuevos exploits es un fastidio tener que ir retocando el codigo que otros han escrito mal expresamente. P- Cuando uno ve como se estan endureciendo las penas y lo que le puede caer a la gente por pintarrajear una web no entiende como puede haber tanta gente dispuesta a hacer el "h4X0r" ahi fuera. A que crees que se debe el que tanta gente este dispuesta a arriesgarse? Hay una razon muy simple para explicar el aumento de wannabe hax0rs y script kiddies (y tambien del aumento de whitehats que no tienen ni p*ta idea). Es popular. Los chavalines que destruyen algo o toman el control de algo se sienten poderosos y pensar que eso se va a resolver con penas mas duras es como pensar que la adiccion a la droga se resuelve con mas carcel. La criminalizacion de una actividad suele empeorar la situacion, USA libra una guerra contra la droga y ahora una guerra contra los script kiddies, esto aumenta la publicidad y la resonancia que hace que mas gente se sienta atraida a hacer cosas estupidas y sin sentido, por el camino de paso se crean mas puestos de trabajo en el gobierno y para reporteros sensacionalistas. P- La actualidad esta plagada de batallas contra los poderes facticos, los casos DeCCS/Napster-MP3, los sistemas libres contra los propietarios.. Como crees que acabara todo? No te dire que no hay que preocuparse porque eliminar o regular servicios que son buenos pero 'inapropiados' como - Napster / open source / full disclosure / decss - no es tan simple en el ciberespacio. Podemos rebelarnos, negarnos a aceptar esta supresion y correr la voz sobre lo que instituciones como la RIAA estan haciendo, decirles que no van a obligar a la gente a comportarse como ellos quieran. Por medio de Internet la gente puede tener exito, hacerse rica incluso, luchando contra estas imposiciones - formando nuevas compa~ias con ideas que la gente realmente desea usar -. Los "grandes" van a tener que acostumbrarse a que en Internet algo que es util no puede ser eliminado o censurado por completo, incluso el atacarlo puede hacerlo mas fuerte. Si por ejemplo Napster cierra, Napster Inc. habra tenido mala suerte pero se abriran las puertas a que docenas de compa~ias pongan en marcha ideas similares. Si en USA las leyes las colocan en situacion ilegal seran capaces de poner en marcha esa idea de manera que quede dentro del margen legal y si no pueden hacerlo se estableceran en un pais con otras leyes. Ni siquiera pueden parar el DeCSS, lo ultimo que he visto, mejor oido, sobre este caso era un mp3 de mas de 7 minutos donde un tipo leia el codigo fuente completo del DeCSS ;). A todos los burocratas, chupatintas, jueces deshonestos, periodistas, etc que ahora mismo estais pensando como acabar con estas ideas 'molestas' pero utiles os digo: "Adelante". Solo vais a conseguir ayudar a su expansion. ;) P- Generalmente acabamos la seccion dando la oportunidad al invitado para que se dirija directamente a nuestros lectores con aquello que desea decirles pero no le hemos preguntado. Tu turno. Hmm... No se si sere bueno en esto, veamos... :) Si todos confiasemos mas en nuestros propios juicios no caeriamos tan facilmente en la histeria mediatica o las falsedades del gobierno y habria menos gente ignorante sobre seguridad y tambien menos problemas graves de seguridad *EOF*