Una buena definición de un HACKER

¿Por qué hackean los hackers?

Expertos en seguridad informática de todo el mundo son impulsados por la curiosidad, la pasión y las ganas de encontrar nuevas formas de utilizar la tecnología

Por Axel Marazzi

 

Un grupo de asistentes en uno de los encuentros organizados por la Chaos Computer Club en Berlín, Alemania, en donde se desarrollan talleres y conferencias relacionadas con el mundo hacker. Foto: Reuters 

Muchos piensan que los hackers son personas que están en oscuras habitaciones todo el día con sus ordenadores tratando de romper los sistemas más complicados para robar información y, después, venderla con fines maléficos. Hollywood tiene la culpa en su mayor parte y si bien en ocasiones es así, la realidad es diferente. Existen muchos motivos por los cuales estos expertos deciden ingresar a sistemas informáticos y vulnerar su seguridad.

"Los hackers son personas con mentes inquietas e imaginativas que buscan nuevas formas de utilizar la tecnología", asegura Chema Alonso, Auditor de Seguridad en informatica64.com , premiado como Most Valuable Professional por Microsoft en el área de Seguridad Empresarial y autor del blog El lado del mal .

Como bien comenta Alonso, no hay que confundir a un hacker con un ciberdelincuente. El segundo puede ingresar a sistemas con un objetivo monetario o a empresas para robar información. Los hackers, por otra parte, lo hacen sólo por pasión y sin la intención de hacer daño.

CP, un hacker de 30 años que prefirió no revelar su identidad, explicó que él muchas veces lo hace porque lo divierte. En el proceso, por mas que el hackeo resulte o no y haya sido por simple diversión, "siempre se aprende algo". En otras ocasiones las razones son más profundas: "Porque quiero exponer que una organización o empresa no cuida los datos de sus clientes como debería. Así puedo concientizar a la gente respecto a qué información personal tienen de ellos y cómo puede ser utilizada para diferentes fines".

Otros, como Alonso, lo hacen por pura pasión: "Puedo pasarme noches enteras en la búsqueda de un fallo en un sistema, software o empresa sólo por el placer de saber el por qué del fallo. Hace años que no diferencio entre trabajo -me pagan por hacer hacking ético profesional a empresas- y hobby".

"Los hackers son personas con mentes inquietas e imaginativas que buscan nuevas formas de utilizar la tecnología", asegura Chema Alonso, auditor de seguridad informática

Los estándares de ética de los hackers son muy altos y, por ese motivo, ninguno quiso revelar cuáles son los sitios con fallos en los sistemas que dejan la puerta abierta para que alguien pueda ingresar y robar los datos. "Lo que sí podemos decir -explica Alonso- es que hay en Internet sitios de renombre o militares que tienen fallos".

La seguridad informática estaba, la mayoría de las veces, relegada y no muchas compañías se preocupaban por ella. Hace un tiempo esto comenzó a cambiar. "El hacktivismo, esa combinación explosiva entre el hacking y la actividad política, prendió algunas alarmas. Eso es bueno. Ahora, más que nunca se está empezando a valorar a la Seguridad de la Información como corresponde y no sólo si hay tiempo y dinero", reveló Nahuel Grisolía, de 26 años y consultor independiente de Cinta Infinita .

Las ganas de explorar son el principal impulso. Eso sí, no todos piensan de la misma manera y, en ocasiones, la intención detrás de la acción no siempre es buena. Muchos sólo quieren romper los sistemas a los que ingresan. A estos, si bien la mayoría les llama hackers, en realidad son denominados crackers. Suelen hacer colapsar servidores, infectar computadoras, entrar a zonas restringidas y también crean botnets conformadas por miles de computadoras zombies (se les dicen así porque son ordenadores infectados que hacen lo que ellos les ordenan, como atacar un sitio web).

LA LLEGADA DE ANONYMOUS

Con el nacimiento de Anonymous , la organización sin líder que está conformada por personas de todo el mundo que se ponen de acuerdo para realizar ataques contra diferentes compañías (en su momento tiraron los sitios de Visa y MasterCard entre otros), se empezó a hablar mucho más sobre hackers, lo que hacen, si las prácticas llevadas a cabo están bien o mal y la ética que tienen. Si bien no todos los que forman parte de la agrupación son expertos en seguridad informática, muchos sí. Entre todos deciden cuál es el target y los que saben se encargan del resto.

"Cada cual usa sus medios para pelear por lo que cree justo y estos individuos, unidos, encontraron su forma", disparó Grisolía.

La idea principal detrás de esta agrupación es luchar contra entidades que no apoyen los derechos de los ciudadanos del mundo. Por ese motivo cuando una empresa toma una medida que ellos consideran que no es correcta (como cuando MasterCard bloqueó los fondos de WikiLeaks, el sitio fundado por el periodista Julian Assange que filtró cientos de cables diplomáticos), la atacan para dejarla sin funcionamiento.

"Ahora se está empezando a valorar a la Seguridad de la Información como corresponde y no sólo si hay tiempo y dinero", reveló Nahuel Grisolía, consultor independiente, sobre el impacto que tuvo el hacktivismo en el mundo corporativo

Según Alonso hay operaciones de Anonymous que fueron positivas y desvelaron cosas malas de organizaciones mientras que otras no fueron tan positivas y los hicieron quedar mal, como cuando dijeron que iban a hackear Facebook en noviembre y no sólo no lo hicieron sino que se tiraron a miles de usuarios de la red social en contra.

Muchos podrían decir que las acciones que toma Anonymous no son las correctas y, sin ir muy lejos, algunos aseguran que son los terroristas de la red. Guste o no, la intención de esta agrupación conformada por miles de personas de todo el globo es hacerse escuchar cuando algo no gusta. Como si se tratase de una manifestación digital.

Está claro que el cine hizo lo suyo y mostró a los hackers como personas oscuras, encerradas en habitaciones tratando de robar dinero de bancos con errores en su seguridad. Si bien existen personas que hacen eso, son ciberdelincuentes. Como bien dijo Alonso, los verdaderos hackers "lo hacen por pasión y por la necesidad de entender como funcionan las cosas que los rodean". Tan simple como eso.

Diario La Nacion

HAckean en E.U los sistemas de tratamiento de Agua

'Hit' hackers EE.UU. los sistemas de tratamiento de agua

El presunto ataque se realizó en un sistema que el agua corriente limpia a los hogares en Illinois

Seguir leyendo la historia principal

Artículos Relacionados

• Irán dice que "controlado" Duqu hackear
• Duqu vinculada a un documento de Microsoft
• Londres acoge la cumbre de seguridad cibernética

Los hackers están acusados ​​de haber destruido una bomba que se utiliza para tuberías de agua a miles de hogares en una ciudad de EE.UU. en Illinois.

Los piratas informáticos con acceso a la red de la empresa de servicios públicos se cree que han roto la bomba de encendido y apagado rápidamente.

El FBI y el Departamento de Seguridad Nacional (DHS) está investigando el incidente como emergen los detalles de lo que podría ser un segundo ataque por separado.

Los expertos dijeron que las noticias revelaron un creciente interés en la infraestructura crítica por los delincuentes cibernéticos.

Información sobre el incidente 08 de noviembre salió a la luz a través del blog de ​​Joe Weiss que asesora a empresas de servicios públicos sobre la manera de proteger el hardware contra el ataque.

Sr. Weiss cita de un breve informe por el Terrorismo de Illinois en todo el estado y el Centro de Inteligencia que dijo hackers obtuvieron acceso a el uso de nombres de usuario y contraseñas robadas. Estos fueron tomados de una compañía que escribe software de control de sistemas industriales.

La dirección de red a través del cual se llevó a cabo el ataque fue atribuido a Rusia , de acuerdo con el señor Weiss. El informe dice que "problemas técnicos" en el sistema de acceso remoto para que la bomba había sido observado por varios meses antes de la quema, dijo el señor Weiss.

Programa nuclear de Irán se ha visto frenado por un virus contra los sistemas de control industrial

Peter Boogaard, un portavoz del DHS, dijo que estaba reuniendo datos sobre el incidente.

"En este momento no hay credibilidad corroborado los datos que indica un riesgo para las entidades de infraestructura crítica o una amenaza para la seguridad pública", dijo.

Acción industrial

Los comentarios por el DHS solicita un hacker con el mango "pr0f" para reclamar que tuvo acceso a los sistemas de control de una empresa de agua segunda EE.UU..

Que publicó un documento en el sitio web Pastebin que supuestamente contenía enlaces a imágenes de los sistemas de control para una planta de tratamiento de aguas residuales en el sur de Houston.

Reclamaciones de los hackers en su capacidad para penetrar en los sistemas de control todavía no se han confirmado ni desmentido por el Agua del Sur de Houston y el Departamento de Alcantarillado.

En una entrevista con el sitio web del autor amenaza, Pr0f dijo el hack de la red de South Houston apenas merecían el nombre, ya que sólo una contraseña de tres caracteres habían sido utilizados para proteger el sistema.

Los ataques son los últimos de una serie en la que los piratas informáticos y grupos se han dirigido a los llamados de Control de Supervisión y Adquisición de Datos (SCADA). Estos sistemas informáticos especializados se utilizan para el control de la maquinaria utilizada para filtrar el agua, mezcle los productos químicos, distribución de los trenes de potencia y la ruta y los tranvías.

Uno de los mejores ataques conocidos SCADA involucrados el gusano Stuxnet, que causó problemas a Irán.

Hubo informes de que las centrifugadoras de malware paralizado utilizados en el programa nacional de enriquecimiento de uranio. Irán negó las acusaciones diciendo que había cogido el gusano antes de que alcanzara su objetivo.

A principios de este año, los investigadores de seguridad que investigaron la manera de atacar los sistemas SCADA fueron persuadidos para cancelar una charla pública sobre sus resultados debido a las "graves consecuencias físicas, financieras estos temas podría haber en todo el mundo".

Lani Kass, un ex asesor del Estado Mayor Conjunto de EE.UU. en materia de seguridad, dijo que Estados Unidos tuvo que empezar a hacer más trabajo para comprender los ataques a la infraestructura crítica.

"El camino en la hipótesis siempre que es sólo un incidente o una coincidencia", dijo. "Y si cada incidente es visto de manera aislada, es difícil - si no imposible - de discernir un patrón o conectar los puntos".

"La falta de conectar los puntos nos ha llevado a ser sorprendido el 9 / 11", dijo.

Hackeando Satelites

Sospecha de EE.UU. por ataques de hacking a satelites

El informe afirma que el satélite Landsat-7 con experiencia de al menos 12 minutos de la interferencia

Seguir leyendo la historia principal

Artículos Relacionados

• China rechaza las reclamaciones de espionaje Gmail
• Una breve historia de la piratería
• 'Cortar en EE.UU. drones' rebeldes de Irak

Hackers interferido con dos satélites de EE.UU. en cuatro ocasiones entre 2007 y 2008, según los informes.

La afirmación se hace en un proyecto de documento preparado por el Consejo Económico EEUU-China y la Comisión de Seguridad, de acuerdo con la agencia de noticias Bloomberg .

Se dijo que los incidentes que participan el Landsat-7 y Terra AM-1 sistemas de observación de la Tierra que fueron atacados a través de una estación de tierra en Noruega. Los satélites se utilizan para observar el clima de la tierra y el terreno.

El informe pone de relieve los riesgos que se habría planteado la había satélites constituyen una violación de "las funciones más sensibles".

El borrador del documento señala que las incursiones previas han participado personas vinculadas a la comunidad underground chino. El gobierno chino ha negado en repetidas ocasiones su papel en los ataques informáticos.

La BBC pidió a tres expertos en seguridad para sus puntos de vista:

Dr. Markus Kuhn de la Universidad de Cambridge equipo de laboratorio

Si realmente ha habido un grave problema de seguridad con estos dos satélites, yo diría que se debe totalmente a la negligencia de sus creadores o gestores.

Desde hace tiempo se básicos de informática, la ciencia el conocimiento de libros de texto de cómo implementar "criptográfico de extremo a extremo de autenticación de mensajes", una técnica muy efectiva para evitar que terceros no autorizados ejecutar comandos en los dispositivos remotos.

Esta historia parece ser poco más que a alguien el acceso temporal a un equipo remoto que dirige una antena parabólica.

Estas estaciones de enlace sólo reenviar los mensajes hacia y desde satélites, como un servicio de entrega postal.

La seguridad de que el satélite no tiene por qué confiar en la seguridad de la antena a distancia en particular.

Un grave riesgo de seguridad a un satélite sería alguien interrumpir toda comunicación con él por la interferencia de las frecuencias de enlace ascendente.

Pero eso no es práctico para los satélites de órbita polar, que vuelan muy bajo y por lo tanto, visible desde cualquier punto de la Tierra sólo unos minutos a la vez.

Si un satélite no se puede hablar de una estación de enlace, debe estar preparado para utilizar la siguiente en su camino.

En un sistema de satélite bien diseñado, no debe hacer mucha diferencia si una antena de tierra no está disponible por un tiempo, ya sea debido a algún hacker adolescente o simplemente una fuerte nevada.

El profesor John Walker, la computación y la informática, Nottingham Trent University

Lo que debe recordar acerca de los satélites es que no sólo apoyar las operaciones militares, sino que también proporcionan la infraestructura básica para las operaciones comerciales.

Sky TV y la industria mundial del automóvil son sólo dos ejemplos.

Al igual que con cualquiera de los componentes de infraestructura, estos sistemas dependen de las computadoras en tierra para proporcionar elementos de mando y control.

Que envían los datos y el equipo donde tienen que estar, y se les puede decir qué hacer.

Esto abre una oportunidad para burlar la seguridad - dependiendo de cómo se está aplicando.

Las noticias recientes han informado de que aviones de EE.UU. no tripulados drones militares estaban infectados con un virus que recogía la información.

Si un código malicioso capaz de infectar a un proyecto tan sensible, es muy posible que podría haber otros ataques dirigidas a la información sobre los satélites de los satélites militares a través de conversaciones de sistema a sistema.

Amichai Shulman, director de tecnología de Imperva

Creo que durante años la hipótesis de seguridad de la información básica de los organismos militares y de gobierno que deben mantener sus datos en redes aisladas que no estaban conectados de alguna manera a la infraestructura de comunicación comerciales y públicos.

Con esta prueba hipótesis y el personal, que creía que los sistemas son seguros.

Sin embargo, en la realidad de hoy en día la mayoría de los militares y los sistemas de gobierno están interconectados y tienen vínculos de datos importantes - algunos en línea y fuera de algunos - a los sistemas públicos y comerciales y las redes.

Por lo tanto, una vez que el "aislamiento total" hipótesis resultó ser falsa, el modelo tradicional de seguridad militar se desplomó en una forma magnífica.

La última, presunto incidente, Landsat es un claro ejemplo de ello. Mientras que el sistema es operado principalmente por las instalaciones militares y sistemas, se puede acceder desde una estación comercial en Noruega, que a su vez está conectado a Internet.

El informe sugiere que el ataque contra el sistema de control estaba relacionada con este sistema de control comercial.

Esta es otra llamada de atención para estas organizaciones a abandonar gradualmente su modelo más antiguo y empezar a desplegar en profundidad de seguridad en capas en sus sistemas de información, al igual que las organizaciones comerciales lo hacen.

Debemos recordar sin embargo que hacer este cambio - tanto mental como punto de vista logístico - es un proceso largo, dado el alcance enorme de estos sistemas.

Diario BBC

Hacker ETICO

Entre, al mundo de un "hacker" ético

Margarita Rodríguez

BBC Mundo

Compañías y gobiernos cada vez más apelan al conocimiento de los "hackers" éticos.

Un hacker puede hacerle la vida miserable a una persona; herir de muerte el prestigio de una empresa o convertirse en un enemigo para un país entero. Pero no todos buscan hacer daño. Penetre con BBC Mundo en el mundo de unhacker sin malas intenciones.

Como si se tratase de una película de ciencia ficción, en la que los buenos luchan contra los malos en una guerra de códigos y algoritmos, en la vida real hay hackers que buscan contrarrestar las acciones de los delincuentes del ciberespacio.

Contenido relacionado

• Los maestros del "jailbreaking" (o del desbloqueo)
• Cómo 'hackear' en 15 minutos
• Breve historia de los "hackers" y sus andanzas

Al mejor estilo de los superhéroes infantiles, los hackerséticos tratan de proteger al mundo, en este caso virtual, de los malvados de la era digital.

"(Mi principal objetivo como hacker ético) es ayudar a las organizaciones a mejorar sus medidas de seguridad tecnológica para reducir el riesgo de que un hackermalicioso pueda comprometer sus sistemas. Eso tendría serias consecuencias y podría afectar a muchas personas", le dijo Adam Hiscocks a BBC Mundo.

Hiscocks culminó sus estudios de Ethical Hacking (Hackeo Ético) en la Universidad de Abertay Dundee, en Escocia, y trabaja como experto en seguridad informática para la empresa Context Information Security.

Rorie Hood es un joven que está estudiando para convertirse en un hacker ético. Le preguntamos por qué lo hace.

"Como un hacker quiero entender cómo funcionan las cosas, todo, hasta el hardware. Saber explotar un sistema es realmente un resultado de aprender todo lo que puedas, de entenderlo todo, y de darte cuenta de que el software está haciendo algo que no debería. Al dar una solución a una vulnerabilidad, ayudas no sólo al software, sino a la comunidad que lo desarrolló, que lo mantiene y que lo usa diariamente".

Diferencias

"La ciencia nos dio un reactor de energía nuclear. Sin embargo, también nos dio una bomba atómica. Las cosas buenas se pueden usar con fines erróneos"

Rorie Hood

Cuando hablamos de un hacker, usualmente se nos viene a la cabeza un genio en computación que le causó un daño a alguien o a alguna institución para sacar provecho financiero o por una causa.

La lista de delitos cibernéticos cada vez se va haciendo más larga: robo de identidad, secuestro de sitios web, ataque a los servidores de una compañía, robo de información confidencial de una empresa o de un gobierno, robo de los detalles y contraseñas de los clientes de un banco, infección con un virus del sistema informático de un organismo…

"El público en general con frecuencia malinterpreta el término. La diferencia entre unhacker malicioso y un hacker ético es que éste último tiene toda la autorización del propietario de un sistema para llevar a cabo pruebas. En esencia, un hacker ético opera en el marco de la ley", le señaló a BBC Mundo Natalie Coull, profesora de la Universidad de Abertay Dundee en el Reino Unido.

Y ¿qué hacen exactamente?

"El hackeo ético es un término reconocido en la industria que simplemente significa probar la seguridad de un sistema (la red, el sitio web, el software o todo la infraestructura de una organización) teniendo la mente puesta en un hacker malicioso", explicó la docente.

Estereotipos

Hiscocks se graduó en la Universidad de Abertay, la primera universidad que inició en 2007 la carrera de "hackeo" ético.

La imagen del hacker que está encerrado en un cuarto oscuro, sentado frente al computador y que no habla con nadie es sólo un estereotipo que quedó anclado al pasado, dicen los expertos.

"Hoy en día el hackeo ético tiene que ver tanto con un elemento social como con seguridad y computadoras. En un ambiente social, los hackers compartirán ideas, discutirán sobre una investigación actual y disfrutarán de una cerveza amistosa", señaló Hood.

Al aspirante a hacker le preguntamos ¿cuál ha sido la principal dificultad que ha enfrentado en el curso?

"El estereotipo de que el hacking es malo. Alimentado por grupos como LulzSec y Anonymous, los hackers enfrentan serios prejuicios en la sociedad moderna. Mientras que no se puede negar que algunas personas hackean para obtener una ganancia, por idealismo político (hacktivistas) o por razones maliciosas, existe una comunidad mucho más grande que sólo ama la tecnología y quiere mejorarla para todo el mundo".

"Eso significa hacerla más segura. Eso no se puede lograr sin primero entender por qué las cosas son vulnerables. La ciencia nos dio un reactor de energía nuclear. Sin embargo, también nos dio una bomba atómica. Las cosas buenas se pueden usar con fines erróneos", dijo el estudiante.

Oportunidades

Coull guía a sus alumnos en el laboratorio de "hackeo" para usar las herramientas idóneas.

Miles de compañías, bancos, gobiernos, servicios secretos están reclutando hackers éticos para evitar ser víctimas de un ataque cibernético.

De acuerdo con Coull, a muchos bancos se les exige que sus servicios sean puestos a prueba de hackers éticos para garantizar qué sus mecanismos de procesamiento de pago con tarjetas de crédito cumplan con los estándares de seguridad.

"Compañías pequeñas podrían emplearlos por periodos cortos mientras que empresas más grandes podrían contratarlos tiempo completo", indicó la profesora.

Hiscocks dijo que los ataques cibernéticos de alto perfil que se han reportado en los últimos dos años han aumentado la demanda por hackers éticos.

"(En mi trabajo) me encargo principalmente de probar cuán seguras son las aplicaciones web, lo cual significa que tengo que pasar gran parte del tiempo intentando hackear varios sitios en internet que son operados por nuestros clientes", señaló el experto.

"Yo no creo que nada pueda ganarle a hackear una computadora legalmente, especialmente cuando lo hago con un equipo de profesionales muy talentosos, experimentados y apasionados".

Tentaciones

"Nunca me he sentido realmente tentado a convertirme en un "hacker" malo y atacar los sistemas de las personas con la intención de causarles un daño o sacar provecho económico"

Adam Hiscocks

Con todas las herramientas, el conocimiento y las destrezas que personas como Hiscocks han desarrollado en su carrera profesional, una pregunta se hace inevitable: ¿cómo manejar la tentación de convertirse en un hacker malicioso?

"Nunca me he sentido realmente tentado a convertirme en un hacker malo y atacar los sistemas de las personas con la intención de causarles un daño o sacar provecho económico. Hay momentos en lo que me doy cuenta de cosas mientras navego por sitios web y puedo estar tentado a echarles un vistazo. Sin embargo, hacerlo sería ilegal y pondría en riesgo mi carrera. Por eso, me aseguro de no hacer nada", señaló.

Y desde la perspectiva docente ¿qué garantías hay de que alguna oveja no se irá por el camino equivocado?

"No necesitas una carrera universitaria para ser un ciberdelincuente. Nuestros estudiantes escogieron este curso porque quieren aprender las habilidades necesarias para conseguir un empleo en el área de la seguridad informática. Antes de entrar en el curso, nuestros estudiantes también son sometidos a una entrevista y a una revisión de sus antecedentes penales", explicó Coull.

A los alumnos de Ethical Hacking se les enseña la legislación relacionada con la seguridad informática para que sepan cómo operar sin infringir la ley.