[HACK] diario de un 'cracker'

[merce at grn.es]

La version original de HVC esta en:
http://ww2.grn.es/merce/hvctotal.html

M&M


vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv


DIARIO DE UN 'CRACKER'


Mercè Molist
No  le  gusta  que le llamen hacker: "Sólo soy el tuerto en el país de
los  ciegos,  una  persona con más inquietudes de lo normal, el alumno
que  cuestionaba  lo  que  decía  el profesor". Pero, con 27 años, HVC
tiene  un  currículum de intrusiones a sistemas que quita el hipo y un
impresionante   laboratorio  casero,  con  seis  ordenadores  llamados
Buitre,  Halcón, Cóndor o Águila. Su aventura es sorprendente, pero el
camino no difiere del de la mayoría de... hackers.



1983
Tuve mi primer ordenador, un Commodore, a los 9 años. Más tarde compré
un  Spectrum pero mi madre lo vendió, consideraba que pasaba demasiado
tiempo con él.


1994
Ingresé  en  La  Escuela  Naval  Militar,  en Pontevedra. Teníamos una
asignatura  de Informática patética y unas cuantas máquinas en red. Mi
única  preocupación  era intentar acceder a ellas. Pero no encajaba en
el  ejército,  así  que  comencé  los estudios de Mecánica de Aviones.
Mientras  mis compañeros se preocupaban por entender cómo se arreglaba
una  avería,  yo  imaginaba  situaciones  límite  y sabotajes. Parecía
sencillo.


1997
Acabados  mis  estudios, fuí a Murcia y empecé Informática de Sistemas
en  la  UNED.  Pedí una beca y me la denegaron, fue una de las mayores
decepciones  de  mi  vida.  No  entendía que un trámite burocrático me
impidiera  estudiar  algo  para  lo que me sentía totalmente válido. Y
tomé  la  decisión  de  aprender  solo. Si el estado no me ayudaba, lo
haría por mi cuenta.


Septiembre de 1998
La  Universidad  de  Murcia  se  convirtió  en  mi  centro  de pruebas
particular.  Había  conseguido un pase para las salas de ordenadores y
me  quedaba hasta que cerraban. Un día, necesité instalar un programa,
pero   los   encargados   no  me  dejaron,  aludiendo  que  necesitaba
privilegios  de  administrador.  Ahí  empezó  todo.  Tras  un  mes  de
investigación  y  gracias  a una contraseña débil, pude hacerme con un
sistema.  Era  la primera vez que entraba de forma no autorizada a una
máquina. La contraseña me permitía acceso físico a cualquier ordenador
de  la universidad, pero pronto deseé más: quería hacerlo remotamente.
Era  como  si  algo  me  dijera:  "Puedes  hacerlo...demuéstrales  que
puedes...".


Noviembre de 1998
El  objeto  de  mi  deseo  era  el PDC (Primary Domain Controller), el
"ordenador  central".  Ahí estaba la contraseña del administrador y el
control  absoluto sobre más de mil ordenadores. Se me ponía la piel de
gallina  sólo  con  pensarlo...  Y  les  tendí  una  trampa:  expliqué
privadamente   al   administrador   que  había  conseguido  acceso  no
autorizado  y  le  metí  miedo.  Cuando salí de la entrevista, corrí a
espiar  la red. Si el plan había funcionado, se conectaría al PDC para
comprobarlo.   Efectivamente,   veinte  minutos  después,  capturé  su
contraseña. Ya era mío.

Diciembre de 1998
Durante  más de cuatro meses pude acceder a casi todos los ordenadores
de  la  universidad.  Tenía una sensación de omnipotencia difícilmente
explicable.  Leía  el correo de la gente, podía apagarles el ordenador
remotamente..,  llegué  a  hacerme  con  gran  cantidad de información
(material  de investigación, proyectos, exámenes, claves) y desde allí
accedí a otras universidades.


Primavera de 1999
Fui  a  Barcelona. Encontré empleo como técnico de sistemas. Arreglaba
ordenadores   y   pronto   estuve   administrando  sistemas.  Tuve  la
oportunidad  de  conocer,  desde  dentro, cómo estaban organizadas las
redes  de empresas. Pero mis jefes no veían con buenos ojos mi afición
a  la  seguridad,  porque  les  demostraba  cómo  podían  saltarse las
barreras  que  ellos  instalaban. Así que hacía una doble vida: de día
era un humilde técnico de sistemas, de noche investigaba y aplicaba lo
aprendido a un entorno real: Internet.

Mi  cuarto  pronto  se  convirtió en un laboratorio de pruebas. Cuando
aparecía  una  nueva  vulnerabilidad,  la  probaba  en mis máquinas y,
cuando  dominaba  la  técnica,  la  usaba  para acceder a ordenadores.
Ahora,  mis  objetivos  eran  la  administración pública y las grandes
empresas.  En  unos  meses,  entré  en  cientos de sistemas, sólo para
comprobar  su  seguridad.  De  todos  los  entornos  que vi (un 90% en
España), el menos cuidado era la administración pública.


Otoño-Invierno de 1999
Entro  en  la  base de datos de una gran constructora, con información
sobre  contratos, beneficios y proyectos de clientes. También accedí a
servidores  web  de  medios  de comunicación y a los directorios de un
importante  proveedor  español,  que  alojaba  más de mil páginas web,
entre  ellas  la  de  la  Agencia  de  Protección  de Datos. Mientras,
encontré  un  nuevo  empleo  en  otra  pequeña  empresa  de  servicios
informáticos.


Enero del 2000 
Me  enviaron  a una conocida ONG, donde el rendimiento de la red había
disminuido,  y descubrí algo extraño: un programa, instalado en varios
ordenadores,  que  estaba  generando un ataque a toda la Intranet. Más
tarde  supe que lo había instalado un ex-trabajador de mi empresa, con
el ánimo de vender una consultoría a la ONG: harían como que revisaban
algo durante unos días, desinstalarían las herramientas que disminuían
el rendimiento, todo volvería a la normalidad y el cliente, contento.


Abril del 2000
Entro  a  trabajar  en una conocida consultora y, por fin, me veo como
Técnico  de  Seguridad  Corporativa.  Aprovecho  para  aprender  sobre
programas  comerciales:  si  conoces la última tecnología (empleada en
banca,  ISPs, etc), ya no hay límites. Para mi sorpresa y desgracia de
los  clientes,  comprobé  que las auditorías se asignaban a personajes
que,  lo  que  se  dice  expertos  en  intrusiones y hacking, no eran.
Mientras,  por  las noches, seguía husmeando en sistemas, cada vez más
gordos.  Cuando  accedo no suelo notificarlo, porque la experiencia me
dice  que  no  sirve  de  nada.  Si  el  fallo  era  muy  grande  o el
administrador  dejaba  el  sistema  abierto  durante meses, marcaba la
página. Hacer el ridículo es la única forma de reflexionar, a veces.


Octubre del 2000
Me  topé  con  el  servidor  web  de  una multinacional, donde estaban
montando un sistema de comercio electrónico y no se les había ocurrido
otra  cosa que almacenar las claves privadas allí mismo. Había también
un  informe  detallado de toda la infraestructura que se montaría. Les
avisé   marcando   la   página.   Al  día  siguiente,  la  mayoría  de
publicaciones  electrónicas  hablaban de ello pero, un mes después, la
web seguía siendo vulnerable.


Noviembre del 2000
Buscaba  información  personal de mucha gente y se me ocurrió mirar en
las  empresas  de trabajo temporal. Di con una que decía: "Tenemos una
de  las bases de datos más importantes de Internet". Hummm... Conseguí
entrar  en  la  máquina,  donde  descubrí  una base de datos de más de
70.000  currículums, con todo tipo de información. La página principal
de  su  web  decía  algo  sobre  confidencialidad  y  la  Ley Orgánica
Reguladora  del  Tratamiento Automatizado de Datos (LORTAD). Que se lo
digan a estas 70.000 personas.


Diciembre del 2000
Hacía  tiempo que tenía ganas de probar suerte con los bancos así que,
una  noche,  busqué algunos no españoles, para hacer pruebas. Accedí a
dos,  mientras  miraba  "Crónicas Marcianas". Uno de Senegal y otro de
Hawai, abierto de par en par, con los datos de más de dos mil personas
que realizaban transacciones a través de su web. Increible.


Enero del 2001
Una  de  las  cinco empresas informáticas con más facturación tenía un
agujero  en  el  servidor  web. Les modifiqué la página y esperé. Días
después,   habían  arreglado  el  cortafuegos,  pero  no  el  servidor
vulnerable.  Me  lo  tomé  como un reto. Invité a un amigo una noche y
pensamos cómo saltarnos el cortafuegos para llegar al servidor. Fue la
noche  más  emocionante de mi vida. Descubrimos que aceptaba "cookies"
(pequeños  ficheros de texto) y, ¡bingo!, forzamos al servidor a coger
una,  creada  expresamente,  que hizo aparecer en la web: "<intruso> 2
<empresa>  0".  Técnicamente, fue muy interesante. Pero jamás apareció
en  los  medios.  Las  empresas  callan.  Por  eso,  los 'hackeos' más
divertidos  se  hacen  el  fin  de  semana,  cuando  sabes  que ningún
administrador  sabrá  solucionar  el  problema  desde casa y la página
quedará marcada hasta el lunes.


Primavera del 2001
Mientras  trabajaba  en  la consultora, fui haciéndome una idea de los
errores  típicos de sitios importantes. Una vez, instalaba un producto
en  un banco cuando vi que el cortafuegos tenía graves agujeros. Se lo
comuniqué  al  encargado  y  sólo conseguí una bronca brutal. A veces,
encuentras  ordenadores  fácilmente  accesibles  en  lugares  de  alta
tecnología  o  militares,  donde  se  supone que deberían tomárselo en
serio.  Igualmente,  puede  pensarse  que entrar en los sistemas de un
banco  es  difícil. Nada más falso. El problema es moverte por dentro,
pero  no entrar. Hoy en día hay métodos que funcionan en el 90% de los
sitios.


Verano del 2001
Hace menos de tres meses, dejé la consultora. No estaba de acuerdo con
su  forma  de  actuar  y  me  parecía  una  estafa. El mercado se está
llenando  de  'expertos'  salidos  de la nada, con estupendos trajes y
mediocres conocimientos de seguridad telemática. ¿Qué experiencia real
en técnicas de intrusión tienen estos personajes? Normalmente ninguna.
Se  necesita  un  ladrón para coger a otro ladrón y, eso, no lo enseña
ningún catedrático.


HVC: overclocking_a_la_abuela at hotmail.com