Así funciona la mente de un infiltrado

Anuncio
28
SECURITY
Así funciona
la mente de
un infiltrado
¿Recuerda I Love You, Code Red, Zeus o PoisonIvy? Los polémicos genios
detrás de estos malware son leyendas. ¿Qué los mueve? A continuación,
crónicas de verdaderos hackers que responden estas preguntas.
Quisi Aguilar
C
uando todos van a dormir esperan
descansar plenamente, de eso se encarga el hombre de arena o también
conocido como Sandman en la cultura celta
o en las historietas de DC Comics. El cibermundo no es muy diferente de la mitología
celta, también posee un Sandman al que llamamos hacker, el cual visita cada noche la
habitación de las personas mientras duermen
para esparcir arena mágica en sus sistemas.
Si el hacker está de su lado tendrá dulces sueños, si no, es mejor que duerma con un ojo abierto
y abrace fuerte la almohada porque al igual que la
canción de Metallica, cuando se va la luz y entra la
noche su seguridad se va a la tierra de nunca jamás,
así es, nunca jamás verá sus datos o dinero y tendrá
la peor de sus pesadillas.
Pero no todos los Sandman son tan malos, en el
gremio también están los conocidos como White
Hats, aquellos que más bien protegen la información.
Para conocer más a profundidad la cultura de
estos individuos, IT Now entrevistó a un grupo de
hackers de distintas partes del mundo. ¿El descubrimiento más relevante? Independientemente de los
objetivos de cada uno, ya sea para fines maliciosos
o para proteger una empresa, a todos los motiva la
curiosidad por lo desconocido.
“Hacker es una persona que tiene una curiosidad
en extremo por alguna área en específico y esa te
lleva a investigar más allá de lo que te han enseñado o puedas saber. Esto te permite obtener ciertos
SECURITY
niveles de conocimiento para encontrar fallas en el
sistema, cómo mejorarlo, cómo vulnerarlo, etc.”,
explicó Álvaro Andrade, CEO de Ethical Hacking
Consultores.
Una radiografía de hackers, tanto los de sombrero blanco –aquellos que trabajan para proteger a las
organizaciones de manera legal-, como los de sombrero negro –que atacan para obtener un beneficio
personal-, nos dejan estos hallazgos:
mencionó Pablo Barrera, White Hat y fundador de
Pakal Security Labs.
En el caso de Edson Borelli, coordinador Global de Seguridad e infraestructura en Futura Networks, él sigue su propia ética que se basa en no
hacerle daño a ninguna persona, más bien lo que
trata es de enseñar, por eso brinda ponencias en
todo el mundo.
Los códigos de ética se basan en no hacer daño a
El motivo del crimen
“Mi motivación principal todavía se centra en
el aprendizaje y la comprensión sobre los últimos
tipos de ataques y tendencias en TI que son verdaderamente únicos. Por ejemplo, estoy fascinado por
contenedores de software como Docker. Sospecho
que en un corto período se verá más y más sobre
estos contenedores, en relación a eso alguien va a
desarrollar una manera de hackear o encontrar vulnerabilidades significativas. Eso va a ser divertido
verlo”, expresó de Chris McKie, White Hat y director de Comunicación Corporativa de Gigamon.
En otros casos, la motivación va más allá de la
curiosidad y está ligada a propósitos personales, algunos sombreros negros hacen sus ataques porque
simplemente tienen ganas de causarle daño a una
empresa por un motivo específico, o bien cuando
un tercero quiere perjudicar a la competencia y contrata a un hacker para que lo haga. También existen
los que buscan ganarse dinero y extorsionan a los
usuarios para devolver los datos o bien los venden
en sitios de la Deep Web.
“El principal problema es la compensación
económica, ser un hacker de sombrero negro paga
mucho mejor que un hacker de sombrero blanco,
esa motivación hace que la gente apunte hacia la
parte oscuro. De hecho, si fuera un sombrero negro,
no tendría esta conversación con vos, no trabajaría
legalmente en una empresa, tendría un perfil oculto”, comentó Matías Katz, hacker ético y CEO de
MKit en Argentina.
Lo cierto es que todos han pasado por esa etapa
de oscuridad. “No hay nadie hoy día que trabaje en
temas de hacking o ciberseguridad, un sombrero
blanco, sin que nunca haya tenido el sombrero negro puesto”, dijo Álvaro Andrade, de Ethical Hacking Consultores.
Respeto entre colegas
En el mundo de los hackers existen una serie de
reglas y códigos no expresos en los cuales se respetan a aquellos “profesionales” que tengan más
tiempo en el ambiente, aquellos que hayan estado
en la vieja escuela cuando todo empezó y también
aquellos cuyos logros marcan una distinción.
“Soy miembro de una organización a nivel mundial que nos rige bajo un código de ética profesional. Para obtener esa certificación ellos realizan una
investigación y se deben mandar recomendaciones
de otros profesionales ya certificados. Esto le garantiza a las empresas que el trabajo que se hace
es profesional y bajo estrictos códigos de ética”,
Matías Katz
MKIT
“El principal problema es la
compensación económica,
ser un hacker de sombrero
negro paga mucho mejor
que un hacker de sombrero
blanco, esa motivación hace
que la gente apunte hacia
la parte oscura”.
29
un individuo que está dentro del círculo y no afectar
a quien no esté haciendo un mal. Por ejemplo, en
los casos conocidos de hacktivismo, que es la combinación entre hacking y activismo, generalmente
los ataques van dirigidos hacia compañías que están haciendo, desde la perspectiva de los perpetradores, un mal, por ejemplo, gobiernos de facto, tiranos o empresas petroleras que están contaminando
el medio ambiente.
“Nosotros con Anonymous Brasil éramos llamados para hacer todos los ataques globales, yo
trabajaba con cuatro personas y estábamos al frente
de todos los ataques que estaban ocurriendo. Brasil
tiene los mejores hackers del mundo, estábamos
coordinados por Anonymous y estuvimos en esa
fase durante dos años. En un momento, tuvimos
que avisar a todos los bancos que para una hora y
día específico se caerían los sistemas pero les dijimos cómo podían protegerse”, recordó Borelli,
quien fue parte de este movimiento de hacktivistas.
La estrategia más popular
Una de las estrategias que se ha vuelto popular
entre los hackers tiene que ver con la Federación
Iberoamericana de Asociaciones de Derecho e Informática (Fiadi), se refiere a la protección de datos
personales a nivel de registros biológicos, ya que
muchas aseguradoras toman los datos médicos,
para posteriormente, con los diagnósticos, incrementar la prima del seguro. Actualmente, esas bases de datos no están reguladas y hay un mercado
negro que está traficando esa información a nivel
de aseguradoras.
Otra de las estrategias es la famosa ingeniería
social que tiene un 100% de efectividad, ya que
normalmente el eslabón más débil de la cadena de
la seguridad de la información es el usuario.
En muchos casos los hackers buscan el camino
más fácil para entrar a la red, a menudo detectan
los puertos que están abiertos y envían spam a los
emails con un enlace malicioso para ver quién hace
clic en ellos. De este modo revisan si los nombres
de usuario o contraseñas suministrados por el proveedor de los routers o access points no se han
cambiado y sondean la red para ver dónde están
los putos débiles, si no pueden encontrar alguno se
mueven al siguiente objetivo.
Desde hace algunos años la región centroamericana es atractiva para los hackers porque hay
muchas pequeñas o medianas empresas con pocos
controles de seguridad, en el caso de los cibercriminales que son inteligentes y sofisticados, actúan en
una escala global y atacan a todos por igual.
“América Central no era más que un juego para
los hackers y aprendices, sin embargo hoy el comercio ha empezado a surgir con más fuerza con
la banca electrónica y los pagos móviles que se
combinan con las redes inalámbricas inseguras, lo
cual hace que haya más elementos atractivos”, dijo
Nelson Chacón Reyes, especialista en seguridad
informática de Latam CSI.
SECURITY
30
Nacidos para
hackear
Como la canción que acompaña los viajes en motocicleta del Easy Rider, quienes
se hacen llamar hackers parecen predestinados para desprogramar computadoras
y sistemas. Estas son sus historias, contadas por ellos mismos.
Quisi Aguilar
Slash,
hacktivista de
Anonymous Brasil
“No concuerdo con la expresión
ciberdelincuente”
TIPO DE HACKER: Soy hacktivista, pero no concuerdo con
la expresión ciberdelincuente.
NACE UNA PASIÓN: Trabajo con software solo para la obtención de información, como herramientas de ataque, negación de
servicios, ingeniería social y para analizar el tráfico en la red. Yo
tengo este estilo de vida hace 9 años, hoy tengo 26 años.
HERRAMIENTAS FAVORITAS: Me gustan las herramientas
del Día Cero creadas por otros grupos undergound como Kali Linux y otros sistemas operativos de seguridad.
BRECHAS DE SEGURIDAD: SQL Injection, es una falla
muy explotada pues busca información dentro de banco de datos
y todas las fallas divulgadas a nivel global en los últimos tiempos
como Shellshock, Bashscript, Poodle y SSL.
PROYECTO MÁS EXITOSO: Todas las grandes operaciones de Anonymous Brasil desde su fundación entre el 2008 y 2009
hasta 2013. Proyectos como Lulzsec Brasil, Brasilian High Tech
Team, ataques a bancos de Brasil, gobierno y Sony global.
¿USA LA DEEP WEB? Cuando es necesario sí, la uso para
las transacciones financieras por Bitcoin o en busca de conocimiento avanzado en múltiples niveles.
Robert Hansen,
VP de WhiteHat
Labs, Grupo
de Tecnología
Avanzada de EE.UU.
“Trato de evitar sentimientos
acerca de la tecnología”
TIPO DE HACKER: Sombrero blanco, paso mucho tiempo desarrollando nuevo software y técnicas que nunca se han visto antes.
NACE UNA PASIÓN: Me involucré en la seguridad hace más
de 20 años. Creo que mi pasión no creció de la tecnología, pero si del
rompecabezas de la misma, me gustan los desafíos. No pude encontrar el tipo de retos mentales que necesitaba en otras industrias y los
ordenadores si atrajeron mi interés.
HERRAMIENTAS FAVORITAS: Yo no tengo ninguna herramienta favorita, puedo usar lo que necesito para hacer el trabajo. Es
cierto que hay algunas herramientas que son más fáciles que otras
pero realmente trato de evitar tener sentimientos acerca de la tecnología, solo uso lo que sea más adecuado para el trabajo.
BRECHAS DE SEGURIDAD: Inyección de SQL, inyección
de comandos y Cross Site Scripting son probablemente más explotados. Eso es porque los tres son comunes, fáciles y dan la atacante
exactamente lo que necesitan.
PROYECTO MÁS EXITOSO: Podría ser el XSS Cheat,
Slowloris, Content-Security, X-Frame-Options, X-XSS-Protection
IE. Todo era cuestión de poner la cabeza hacia abajo para encontrar
soluciones creativas a los problemas que nadie había pensando.
SECURITY
Matías Katz,
CEO de MKit
“Cuando alguien pasa al lado oscuro no
vuelve”
TIPO DE HACKER: Ético.
Cuando alguien se pasa al lado oscuro no vuelve, por más que te
metan preso con condenas, al día siguiente que salís compras una
computadora y seguís haciendo lo que hacías, eso es para siempre,
no hay reflexión.
NACE UNA PASIÓN: Todo empezó cuando tenía 6 años y
estaba tratando jugar “El príncipe de Persia”, había un nivel que no
podía pasar, lo que hice fue entrar a los archivos que estaban detrás
del juego, lo entendí y anoté en el archivo de configuración el nivel
en que quería estar.
Todo fue empírico, no fui a la facultad no hice ninguna especialidad, solamente me senté y empecé a investigar hasta el día hoy.
HERRAMIENTAS FAVORITAS: Las herramientas que utilizamos son las mismas que se emplean para fines maliciosos, cualquiera que sea su motivación:
• Wireshark: Es un analizador de tráfico para solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos.
• Nmap: Descarga una identificación de una red y brinda como
resultado cuáles son los equipos que están dentro de la red y sus
puertos abiertos.
• Nessus: Analiza directamente un grupo de servidores disponibles y rastrea las vulnerabilidades que pueden llegar a tener en los
servicios que están corriendo.
• Acunetix: Es exclusivo para el análisis web, eso se lo pasa a una
aplicación publicada en Internet y detecta cuáles son las vulnerabilidades que pueden tener los desarrolladores del cliente.
BRECHAS DE SEGURIDAD: La que más aparece en todos
los sitios son las inyecciones SQL, es una acción que se hace a través
de una vulnerabilidad en las páginas web. Habla con la base de datos
de la empresa y descarga información, esto es ilegal e invasivo, si no
tiene una autorización del cliente para hacerlo está violando la ley,
ese fue el ataque que se hizo en el caso de Ashley Madison.
PROYECTO MÁS EXITOSO: Un software que analiza comportamientos específicos en redes sociales donde podemos captar en
tiempo real con una demora de menos de 10 segundos todo tipo de
interacción, podemos localizar de donde vino la información, si es
positivo o negativo.
31
Vitaly Kamluk,
principal experto
en seguridad de
Kaspersky Lab
y colaborador
de Interpol
El programador que luchó contra
Cosmic Duke y Dark Hotel
TIPO DE HACKER: Sombrero blanco, con más de 10
años de experiencia en seguridad informática. Especializado en ingeniería inversa de malware, informática forense e
investigaciones sobre el cibercrimen. Actualmente trabaja
con la Interpol.
NACE UNA PASIÓN: Yo he estado desarrollando programas desde la primera vez que vi una computadora. Tenía unos 12 años. ¿Qué me interesó? Es una curiosidad
natural que cada niño tiene cuando encuentra la manera de
crear algo nuevo en este mundo y eso fue lo que hice, crear
programas que controlaban la computadora y le hacían seguir mis instrucciones.
HERRAMIENTAS FAVORITAS: Utilizo herramientas
estándar para los investigadores de seguridad. Admiro y
respeto mucho el modelo de código abierto en programas
de software porque es la mejor forma inventada para poder
compartir conocimiento en este campo.
LA MOTIVACIÓN: Encuentro motivación dentro de mí
mismo. Es relacionado a la responsabilidad que siento
como ser humano.
PROYECTO MÁS EXITOSO: Soy miembro de un equipo elite de investigadores de amenazas y he contribuido a
muchas investigaciones que han sido publicadas como la
lucha contra el Cosmic Duke, Dark Hotel, Duqu, Madi,
Flame, Turla, Blue Termite, The Mask, Equation, Wild
Neutron y muchos más.
SECURITY
32
Saúl Gamarro,
hacktivista de
Tecnocracia
Guatemala
Teo Barbas,
Anonymous
Guatemala
“Nos tiene sin cuidado que un
gobierno nos catalogue de criminales”
TIPO DE HACKER: Hacktivista, no nos interesa hacer dinero de
esto, si no seríamos espías industriales y nos tiene sin cuidado que un
gobierno nos catalogue de cibercriminales, al final es el pueblo el que
juzga y tenemos el apoyo popular.
NACE UNA PASIÓN: Nace por la necesidad de adaptarse a las
nuevas tecnologías para manifestarse, para demostrar el descontento
ciudadano. Somos un colectivo mundial, no hay jerarquías, líderes o
dueños, no respondemos de manera individual, a nivel mundial nace
hace casi una década, en Guatemala iniciamos operaciones en 2009.
“Me metí en demasiados problemas
como para querer recordarlo”
TIPO DE HACKER: El hacktivismo tiene una agenda específica con ciertos temas, algunos los comparto, otros no. Los principios y valores que me enseñaron en casa no me permiten encajar a
las categorías de hacker que Hollywood presenta.
NACE UNA PASIÓN: En 1992 no tenía ni idea de que era una
computadora y un amigo de mi papá acababa de comprar la suya,
por alguna razón extraña dejó que un niño de 7 años jugara con ella.
Después de 23 años sigo jugando con computadoras y con cierta
obsesión permanente de buscar la manera de que las cosas funcionan y cómo hacer para que funcionen de la manera que yo quiero.
HERRAMIENTAS FAVORITAS: Ion Cannon, bots, shells, entre
otros juguetes.
BRECHAS DE SEGURIDAD: SQL y control directo de los
blancos, usando rats. Pero no es la única manera, debilidad o herramienta que existe o que aprovechamos.
¿USA LA DEEP WEB? Por supuesto, hay información que solo
por esa vía compartimos, aunque hemos hecho operaciones contra sitios de pornografía infantil que existían en esta red.
PROYECTO MÁS EXITOSO: Hackear la página del TSE y la
SAT, los detalles no los brindaremos, pero si hubiéramos querido, habríamos liberado información de millones de personas, que se supone
que esas entidades mantienen de manera segura.
HERRAMIENTA FAVORITA: Notepad+
BRECHAS DE SEGURIDAD: Una muy popular es la más
fácil de hacer, pero la más compleja de ejecutar. El Social Hacking
es vulnerar la propia seguridad del usuario en vez del sistema. A
veces se puede obtener cierta información de los usuarios y acceso
a sus cuentas sin ni siquiera programar una línea de código.
PROYECTO MÁS EXITOSO: Me metí a demasiados problemas como para querer recordarlo, solo puedo decir que las personas que se dedican a desarrollar software de seguridad son muy
buenas y saben lo que hacen, a diferencia de los usuarios comunes
que por desconocimiento abren las puertas de información importante sin darse cuenta.
LOS HACKERS QUE HICIERON HISTORIA
• Gary McKinnon:
• Albert González:
• Kevin Mitnick:
• Astra:
• Jonathan James:
Vulneró cerca de
100 servidores
militares y de la NASA
estadounidense
desde febrero de 2001
hasta marzo de 2002.
Eliminó información
confidencial, software y
archivos, el gobierno de
Estados Unidos gastó
más de US$700.000
para recuperarse de los
daños. Él se burló de los
militares al publicar: “Su
sistema de seguridad
es una mierda. Estoy
solo”. Ahora ofrece
servicios de seguridad
informática.
Fundó el sitio
Shadowcrew.com,
que tuvo 4000
miembros, en el sitio
se podían comprar o
vender números de
tarjetas bancarias, se
intercambiaron más de
170 millones de tarjetas
de crédito y débito
desde 2005 hasta 2007.
Fue arrestado en mayo
de 2008 y no estará
fuera de la cárcel hasta
el 2025.
Irrumpió las redes de
Pacific Bell, Nokia,
IBM y Motorola. Lo
arrestaron en 1995,
después de 12
meses en prisión y
tres años de libertad
supervisada, continuó
la piratería con el uso
de celulares clonados
y fue condenado a
prisión por cuatro
años en 1999. Se
convirtió en el criminal
informático más
buscado en el país en
ese momento. Ahora es
un White Hat.
Nunca fue identificado
públicamente, solo
se sabe que tiene
58 años, detenido
en 2008 por las
autoridades griegas
porque vulneró
los sistemas de la
compañía de aviación
Grupo Dassault
durante 5 años. Vendió
los datos robados
a 250 personas por
US$1000 a cada uno.
A los 16 años se infiltró
en el sistema escolar de
Miami-Dade, la NASA y el
Departamento de Defensa,
se robó el software del
gobierno con un valor de
US$1.700.000. Cuando el
equipo de Albert González
robó información de tarjetas
de crédito en 2007, el
servicio secreto investigó
a James, quien afirmó que
no tenía nada que ver con
los robos. Por miedo a ser
procesado por crímenes que
no cometió, James se
suicidó en su ducha en
mayo de 2008.
Descargar