SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Hacking: Solo para criminales?

      2083

Autor: Madfran
-[ 0x11 ]--------------------------------------------------------------------
-[ Hacking: Solo para criminales? ]------------------------------------------
-[ by Madfran ]------------------------------------------------------SET-22--



                           UN POCO DE FILOSOFIA
                           --------------------

 En este primer mes del nuevo milenio, han pasado por mis manos (y por
 otras mucha mas), dos noticias con un algunos puntos comunes. Nuevas
 tecnologias, robo de informacion, ..... castigos ejemplares (y falta
 de ellos).

 Me gustaria compartir con vosotros, algunas de las reflexiones que me
 he hecho, o sea, este articulo no va a ser un pe~azo de tratado tecnico
 sobre las rendijas de seguridad en los programas basados en Windows,.....
 sera un tocho sobre filosofia general y escarmiento en cabeza ajena
 (algo que todo el mundo sabe, pero que no siempre sabemos aplicar).



  PRIMER INPUT
  ------------


 Pasemos a la primera noticia. Corria el 20 de Enero de 2000, estaba
 sentado placidamente en la silla, tras la mesa de mi despacho, intentando
 olvidar las ultimas majaderias que tuve que soportar en la enesima
 reunion sobre motivacion empresarial, cuando el beep de mi ordenador me
 informo que un nuevo e-mail acababa de llegar al servidor local de
 nuestra red corporativa. Mi primera idea fue dejar que reposara en
 las entra~as de la maquina infernal, pero mi reconocido sentido del
 deber (y el miedo a perder el puesto de trabajo), me impulso a mover
 mi mano sobre el raton y abrir el cliente de mensajeria, que permanecia,
 comodamente alojado, en segundo plano de las tareas de mi PC.

 Este acto tuvo su premio (dicen que todos los sacrificios tienen
 finalmente su recompensa), y en lugar del e-mail informando que el
 modulo RESI8 del nuevo sistema integrado de contabilidad SOP3, habia
 sido instalado con exito,en la region de Sanscracia (...pobres usuarios !),
 aparecio en mi pantalla el mensaje diario, con el resumen de las noticias
 mas importantes, de la publicacion a la cual estoy, gratuitamente,
 subscrito.

 Rapidamente pase las noticas internacionales, economicas y demas, iba ya
 a borrar sin mas el mensaje del servidor ( ah! iluso! seguro que guardan
 una copia de todo lo que recibo), cuando algo capto mi atencion :

 "DESARTICULADA UNA RED DE DEFRAUDADORES DE LINEAS TELEFONICAS A TRAVES
 DE INTERNET" 

 Como la noticia no tiene gran cosa que ver con el trabajo por el cual me 
 pagan, uno tiene cierto orgullo profesional y tenia otras cosas que hacer,
 imprimi rapidamente la noticia, con la sana intencion de leerla comodamente
 en casa.

 De vuelta a mi dulce hogar, mientras soportaba los habituales atascos que
 comtribuyen a mejorar mi proverbial buen caracter, la radio no hizo mas
 que recordarme la notica que llevaba impresa en mi maletin. O sea, que
 cuando finalmente llegue, me sabia de memoria lo que todavia no habia
 tenido tiempo de leer. Total no era gran cosa, no entendia el porque
 de tanto bombo y platillo.

 En resumidas cuentas, se trataba que nuestro bienamado cuerpo de la
 Guardia Civil en Spain (Grupo de Delitos de Alta Tecnologia), con su
 capitan Don Anselmo del Moral al frente, habian "conseguido desarticular
 una red de defraudadores en lineas telefonicas a traves de la red
 Internet..."

 [........estooooooo.... probablemente es al reves (pense yo), algunos 
 desgraciados, han estado conectados a Internet utilizando lineas
 telefonicas de propiedad ajena.] 

 "..., lo que tecnicamente se conoce como freakers,..."

 [me imagino que habran querido escribir phreakers]

 El articulo, continuaba explicando, de una forma un poco confusa, que en
 una operacion que habia durado mas de un a~o y de nombre Millenium,
 habian detenido a 55 personas, de ellas doce en Barcelona (Spain).
 Dichas personas estuvieron utilizando lineas 900, sin derecho para
 ello, con gran regocijo de todos los chats enterados de este pais
 (y otros de misma lengua) y gran pasividad de los legitimos propietarios.

 A continuacion algunos numeros entresacados del susodicho articulo :

   - ..algunos casos ascienden a unos diez millones de pesetas mensuales
   - ..llamadas por importes superiores a las 50.000 pesetas
   - ..empresas afectadas, Microsoft, Toshiba

 Reflexionemos un poco. Cualquiera que este minimamente habituado a leer
 soporiferos informes en una multinacional, sabe que cuando se escriben
 cosas asi, significa que hay UN caso de 10 millones y UNA llamada de
 50.000 pelas. Si seguimos reflexionando y nos fijamos en nombres como
 Microsoft (os suena?) caereis en la cuenta que a empresas de este
 tama~o les importa un rabano este tipo de robos (solo se preocupan,
 cuando les saturan un servicio) y hubiesen pagado por no salir en la
 noticia. Si a esto a~adimos algunos detalles (Millenium, principo de
 siglo, etc), llegareis probablemente a las siguientes conclusiones :

   - Esto es un montaje publicitario.
   - Los pobres desgraciados de la cacareada red, eran simples soplapollas.
     (sin animo de ofender a los que, dignamente, se dediquen a soplar pollas,
      caso, de que dicho oficio exista).

 [ Nota Editorial: Opinion puramente de Madfran, no necesariamente compartida
   por si no alguno no sabia para que esta el disclaimer.]

 Mas que nada, porque soy un poco masoquista, mientras me bajaba los
 mensajes en mi casa, me conecte con la web de La Guardi Civil
 (www.guardiacivil.org por si a alguien le interesa) y lei su version de
 los hechos delictivos. 

 Pues nada del otro mundo! (bueno, al menos escribian bien phreaker),
 daban algunos datos mas (nombres como DANKO, COM 30, etc) y tres
 (tres se~ores, tres!), fotografias relacionadas con el hecho.

    - Un cable conector
    - Un mapa de Spain
    - Un sofa mugroso, con papeles encima

 ....archive en algun recondito lugar de mi cerebro la informacion
 recibida y no pense mas en el asunto.......hasta el 29/01/2000.



  SEGUNDO INPUT
  -------------


  En este caso el escenario es distinto. Sabado por la ma~ana,
  comodamente sentado en una cafeteria, leo el diario (evidentemente,
  version papel), mientras simultaneamente intento aparentar un enorme
  interes en lo que mi compa~era de fatigas, me dice.  Una noticia a
  media pagina, me salta a la vista :

  "El pinchazo global"

  Aqui el tema era mucho mas serio. Un informe elaborado, a peticion del
  Parlamento Europeo, por un periodista especializado (un escoces llamado
  Duncan Campbell), ha sacado a la luz, una red de espionaje industrial.
  En este caso el asunto era un poquito mas interesante. Aparentemente la
  Agencia Nacional de Seguridad norteamericana (NSA), la CIA, el
  Departamento de Comercio (DOC) de EE.UU y la Agencia de Comunicaciones
  Gubernamentales del Reino Unido (no me invento nada, solo transcribo),
  han estado interceptando las comunicaciones entre las compa~ias europeas
  y sus posibles clientes.

  Objetivos ?

  Pues bastante claros. La firma "Y" de Alemania esta negociando un
  contrato para cambiar los radares de todos los aeropuertos de Africania.
  Si estas pinchando las comunicaciones de la sede de Y, (todo eh!,
  telefonos, faxs, lineas dedicadas, mobiles,...), te enteraras de la
  cantidad que estan ofreciendo oficialmente, la que ofrecen
  extraoficialmente, la que quieren dar al funcionario tal, que nadie
  sabe que existe, pero es que realmente decide al final.

  Si esto no es suficiente, puede que te enteres de los lios privados
  del que mueve los hilos en la firma "Y" en este asunto, porque hizo
  aquel viaje tan raro acompa~ado por la prima Emilia (que segun parece,
  no tiene el menor parentesco con golfante en cuestion) e incluso de sus
  enfermedades inconfesadas (tiene almorranas!) o de su fiel secretaria
  (aprovecha el momento en que tiene su visita periodica al galeno, para
  cambiar algo en un documento en el ultimo momento, total, el golfante
  tampoco se lo lee.)


  Consecuencias ?


   - Perdida de contratos de la firma francesa Thomson con el Gobierno de
     Brasil, por un valor de 216.000 millones de pesetas.
   - Perdidad de contratos entre Airbus y el Gobierno de Arabia Saudi por en
     valor de un billon de pesetas.
   - ......ya basta, no ?


 Medios ?

   - 40 satelites espias.
   - Submarinos.
   - Profesionales en escuchas telefonicas.
   - .....venga !, ya esta bien ....


  Entre los sofisticados medios de que disponen estos chicos, esta
  (segun el periodista), un super programa, capaz de descifrar cualquier
  clave secreta, llamado N-gram. Bueno,... creo que esto ya entra dentro
  de la cultura ( o falta de ella) del escritor del articulo, porque si
  navegais cinco segundos por Internet, os podreis enterar que el N-gram
  es solo una estrategia matematica empleada en los programas de
  reconocimiento de voz. 

  Volvamos a nuestro articulo. Que me dices ? ...., perdidas
  millonarias,..... espionaje a nivel mundial,.....grandes medios en
  juego,.....aqui seguro que van a caer cabezas !

  Con sumo placer morboso, continuo la lectura del articulo y....
  nada ! Aqui no hay culpables, aqui no han jueces, aqui no hay .....
  nada ! Timidamente, la Eurocamara debatira el tema en febrero de 2000
  y el Senado belga tenia que hacerlo el 31/1/2000. Os puedo ahorrar la
  busqueda por las hemerotecas de Internet, porque ningun periodico de
  Spain se hizo eco de ningun debate en Belgica por este tema.

  Esto me recuerda el viejo chiste. "Si debes un millon de pelas al
  banco, tienes un problema. Si debes mil millones, el problema lo tiene
  el banco" 

  [ Daemon: Sobre el tema de la criminalizacion del hacking ya se escribio
    en SET 13 (febrero 98) apuntando motivos y culpables.
    Sobre la comparacion con los delitos "reales" como Echelon tambien 
    escribio un tipo muy avispado ;-) en SET 14 (Abril 98) algo como:
    "Esta vigilancia esta vulnerando la leyes de todos los paises, los 
    derechos constitucionales que protegen la privacidad y la intimidad. 
    Y que?. NADA.
    Mientras que la policia y el Estado se afana en empapelar a un
    chavalillo de 17 a~os porque ha entrado en un ordenador y acaso ha
    borrado un directorio o ha alterado una pagina web SE BAJAN LOS PANTALONES
    cuando se trata del poder yanki y todo lo mas seran capaces de hacer 
    alguna "condena" o "declaracion institucional" con la que los chicos
    de Fort Meade se limpiaran cierta parte de su cuerpo."
    
    Reconfortante ver como pasa el tiempo y nada cambia. :-( ]



  CONCLUSION
  ----------


  Si eres un pelagatos, ni se te ocurra estafar mediante algo que huela
  a Internet. Entre las estafas incluye cualquier cosa que se acerque a
  lineas 900, tarjetas de credito, uso indebido de lineas telefonicas
  ajenas,... 

  Porque iran a por ti. Con cualquier excusa, cambio de milenio, necesidad
  de ahogar otro escandalo, falta de espacio que rellenar en las paginas
  del periodico,.... cualquiera ! es buena ! Y como eres un pelagatos,
  no tendras dinero para pagar un abogado (ni bueno ni malo) y acabaras
  con tus huesos en la carcel, con el culo un poco mas amplio que cuando
  entrastes, te habras quedado sin trabajo, tus amigos te miraran por
  encima del hombro (sobre todo los que considerabas fieles y confiables),
  tu novia se habra ido con tu mejor amigo (que resulto serlo de ella),
  los vecinos saldran del ascensor cuando entres (...esto tiene sus
  ventajas) y un largo etcetera. 

  Que no me quieres hacer caso, ya que piensas que soy un agente de
  Telefonica disfrado de hacker/pacotilla ?...pues escondete ! escondete
  en la multitud.

  Peque~as facturas telefonicas. Cambia de numero 900 a menudo. No digas a
  nadie lo que haces. Cambia de conexion a Internet. Cambia y escondete.

  Que esto es muy triste y solitario ? Pues lee el parrafo justo despues de
  la palabra CONCLUSION. Si te quieren coger, te cogeran. No hay posibilidad
  de que tu clave PGP sea inviolable. Si quieren cazarla, lo haran. Todavia
  recuerdo como me costaba encontrar un password de seis caracteres hace
  dos a~os con la mejor maquina de la epoca ! El otro dia hice la prueba y
  tarde un par de horas. Yo, que tambien soy un pelagatos, he mejorado
  enormemente mi capacidad de crackear una password por fuerta bruta.
  Imagina lo que pueden haber hecho ellos, con los medios de que disponen.

  Tu unica posibilidad ?

    - Su avaricia
    - Su estupidez
    - Su pereza

  Nunca iran tras de ti, si el costo de la busqueda es superior al da~o
  que les causas.

  Nunca iran tras de ti, si te escondes entre la multitud y la busqueda
  es complicada.

  Nunca iran tras de ti, si eres rapido con los cambios.

  Pero,.... siempre hay excepciones a las mejores reglas universales
  (vease PRIMER INPUT de este articulo) y cuando te cacen recuerda los
  diversos articulos en SET que han aparecido sobre este tema.

  A pesar del riesgo de que penseis que estoy haciendo publicidad
  encubierta, os trasmito un ultimo consejo. Si os pasais por la web del
  bufet de abogados Almeida (www.bufetalmeida.com), vereis al final de la
  pagina una frase "se aconseja cifrar las consultas via e-mail"

  Yo de vosotros seria prudente. Ya se que es un pe~azo a veces el tener
  que cifrar los mensajes y tener que ir a cuestas con las llaves, pero
  procurad ser un poco menos vagos que ellos y no se lo pongais facil.
  Recordar que una de vuestras mejores armas es .... su pereza !


  madfran


  [ Daemon: En general sobre todo este tema de hacking satanizado, medios
    buscando carnaza y sacando a gente que tira servidores y pasma buscando
    medallitas y aparecer como tecno-edge state-of-the-art police ya hemos
    escrito lo suficiente. A los lectores de SET nada de esta movida puede
    pillarles de nuevo. Para eso lo machacamos en su momento :-). ]

*EOF*