[HACK] Algunos Hackers Buenos y IV
merce at grn.es
merce at grn.es
Fri Sep 28 18:27:32 CEST 2001
y recuerdos :)
y disculpas por la extension
M&M
----------------------
Cuartango: "Los agujeros vienen a mi"
Reconocido internacionalmente por su afición a encontrar fallos de
seguridad en el navegador Internet Explorer y el programa de correo
Outlook, con una imagen totalmente alejada del hacker que pinta la
imaginación, corpulento, 40 años, es ingeniero de Telecomunicaciones y
"un honrado padre de familia con esposa y tres hijos". Juan Carlos
García Cuartango trabaja en lo que más le gusta: predicar, dando
cursos de seguridad.
-No sé si soy un hacker, lo que sí sé es que nunca me he dedicado a
acceder sin permiso a máquinas ajenas. Y nunca publico fallos hasta
que el fabricante afectado haya publicado el correspondiente parche.
Estoy "especializado" en encontrar agujeros en programas, pero lo hago
irregularmente y en ratos de ocio, no vivo de ello.
-¿Y por qué sólo fallos de Microsoft? ¿Odias a Microsoft?
-Ni odio ni amo a Microsoft, hay gente de Microsoft a quien aprecio
pero no odio a nadie. Yo no busco agujeros en sus programas, son los
agujeros los que vienen a mi.
-¿Cómo?
-Simplemente, viendo el comportamiento de un programa se intuye que
detrás hay un fallo de seguridad. No busco los agujeros, se me
aparecen en forma de comportamientos inesperados o negligentes.
Practico lógica inversa: calculo donde un programador ha tratado de
solucionar un problema para salir del paso o donde un grupo no ha
sabido ponerse de acuerdo.
-¿Lógica inversa?
-Microsoft no da el código fuente. Sin embargo, conozco bien la forma
de actuar de los programadores y puedo preveer sus errores, sus
olvidos, sus pequeñas chapucillas. La gente programa bajo fuertes
presiones del 'marketing'. Esto hace que se produzca 'software' cuya
calidad deja mucho que desear.
-¿Es cierto que las empresas denuncian a quien les avisa de fallos?
-Es más habitual que te ignoren. Mi relación con Microsoft no existe,
mantengo relaciones con gente empleada en Microsoft, que me trata muy
bien. Les aviso a través de mi contacto en Redmond, que desde hace más
de un año se llama Scott Culp, un padre de familia como yo.
-¿Los hackers que buscan fallos en programas son diferentes de los que
buscan fallos en ordenadores?
-Sí, son creadores, son pocos y no suelen explotar los fallos. Los que
buscan agujeros en ordenadores se aprovechan de su trabajo.
-¿Crees que existe una ética hacker?
-No. Entrar en una máquina no me parece ni ético ni antiético, nuestra
moral judeo-cristiana no contempla el caso. Si alguien conecta un
ordenador a Internet sabe que potencialmente toda su información es
accesible. ¿Causar daños? Es relativo. Eso sí, fastidiar por fastidiar
es una acción desconsiderada en todos los códigos éticos.
-¿Un hacker es un rebelde?
-En efecto. Pero, dado que el concepto derecha-izquierda está perdido,
es difícil calificar este tipo de rebeldía. ¿Es un hacker
anti-globalizador? Sospecho que no, puesto que se vale de los medios
que utiliza la "globalización".
-Aunque investigas solo, ¿tienes contacto con la comunidad?
-Sí y, en general, las relaciones son cariñosas, pero te confesaré
que, en cuanto entro en el canal #hack del IRC-Hispano, siempre hay
algún gurú que me echa al cabo de tres minutos.
-¿Qué opinión te merece el llamado "hacking ético"?
-He estado durante un tiempo en un empresa de "hackers éticos" y me ha
parecido un auténtico saca-cuartos. Las empresas te contratan y tú les
dices por dos millones que están mal. El siguiente paso es un trabajo
de veinte millones y, el resultado, un informe diciendo que han de
gastarse otros veinte para salvar los muebles. Después, una nueva
auditoría para ver si se han hecho las cosas bien, otros veinte. Por
eso me dedico a la formación, trato de enseñar que esto de la
seguridad no es tan complicado como dicen.
Instisec
http://www.instisec.com
-------------------------------------------------------------------
Paseante: "Lo hago porque puedo"
Paseante es un héroe del 'underground' hispano. Artista de la
paranoia, no se deja hacer fotos, nadie conoce su verdadero nombre y
la red no almacena más información sobre él que sus rondas por los
sistemas de bancos, como EBankinter, y grandes empresas, como
Telefónica. Las publica en "Saqueadores Edición Técnica" (SET), el
"ezine" del grupo del mismo nombre, al que ha estado ligado los
últimos años. Cercano a los 30, se considera un hacker atípico.
-Mi principal afición es la lectura. No me paso 35 horas seguidas
intentando conseguir un reto, ni me quedo sin dormir, ni tengo la
constancia ni paciencia necesarias. En esta época de
hiper-profesionalización, yo represento el 'amateurismo'. No pretendo
demostrar nada, no quiero llamar la atención sobre fallos ni siento la
necesidad de dejar como idiota a cualquier empresa que haya tenido un
descuido. Lo hago porque me gusta, porque puedo y cuando quiero.
-¿Y cómo va?
-Intento comportarme de acuerdo con mis principios y ser honesto
conmigo mismo. Nunca he creido hacer nada ilegal o perseguible. Nunca
he lanzado un ataque de Denegación de Servicio, ni interrumpido el
servicio de ninguna empresa, ni traficado con datos robados o
chantajeado.
- ¿Crees que los grupos, como SET, ayudan a la ética hacker?
-Pueden servir para transmitir una forma de actuar. Con la revista,
hemos influido a mucha gente y hemos dado a la escena hispana una
publicación estable, la primera reconocida internacionalmente. No es
que los grupos sean imprescindibles, pero la idea mítica de que los
hackers no hablan con nadie y son completamente desconocidos es
bastante ridícula.
-¿Sin ética, eres hacker?
-Sin ética eres consultor de seguridad.
-¿Crees entonces en la ética hacker?
-No en una ética compartida. Pensar de forma independiente es una
dolorosa actividad y creemos que basta con cambiar de rebaño para
dejar de ser borregos. Y que entonces podemos ser intransigentes y
radicales y decir que Microsoft es el mal absoluto, Linux la solución
de todo y que estoy autorizado a entrar en cualquier sitio que tenga
la más mínima desconfiguración...
-¿No te parece bien entrar en máquinas?
-No es ni debe ser la actividad principal del hacker.
-¿Harías 'hacking' por una causa noble?
-No me veo en plan "Salvad las ballenas", pero si cayese en mis manos
una información que he obtenido irregularmente y fuese de interés
público, intentaría darla a conocer.
-¿Qué hacen las empresas cuando las avisas de fallos?
-Nunca se sabe, pero yo tampoco me comporto como "el sereno de
Internet". He visto muchos ordenadores donde otros habían dejado
archivos describiendo el agujero y nadie los había leido.
Generalmente, aviso si el fallo es particular del sitio y he
conseguido explotarlo.
-Desde direcciones falsas...
-Nos escondemos porque nunca sabes si vas a cruzar la línea o cómo se
lo van a tomar.
-¿Cruzar la línea?
-Llegas a una máquina vulnerable, pruebas el fallo, para estar seguro,
y te animas, ves que desde ahí puedes llegar a otro sitio, que parece
interesante y, cuando te quieres dar cuenta, te has dado tantas
vueltas por su red y has visto tantos archivos que no tendrías que
haber visto que, eso de "avisar", como que no te atrae. Generalmente,
ni a las empresas ni a ti os interesa armar mucho ruido, así que
reinstalan, aseguran y no se suelen molestar en más indagaciones.
-¿Que opinión te merece la demonización del hacker?
-La convergencia del poder económico y político es la causante de esta
criminalización. Y la mejor forma de combatirla es exportar el modelo
GNU de empresa. Muchos ciudadanos están yendo más allá del precio y
del embalaje: comercio justo, fondos éticos... Cuando ser "decente" no
sólo no sea malo sinó un valor de mercado, no habrá ese interés en
buscar enemigos con que sustentar el 'status quo'. Las empresas que no
gocen del favor de la comunidad tendrán una existencia corta, dura y
desagradable.
SET
http://www.set-ezine.net
More information about the hacking
mailing list