28 SECURITY Así funciona la mente de un infiltrado ¿Recuerda I Love You, Code Red, Zeus o PoisonIvy? Los polémicos genios detrás de estos malware son leyendas. ¿Qué los mueve? A continuación, crónicas de verdaderos hackers que responden estas preguntas. Quisi Aguilar C uando todos van a dormir esperan descansar plenamente, de eso se encarga el hombre de arena o también conocido como Sandman en la cultura celta o en las historietas de DC Comics. El cibermundo no es muy diferente de la mitología celta, también posee un Sandman al que llamamos hacker, el cual visita cada noche la habitación de las personas mientras duermen para esparcir arena mágica en sus sistemas. Si el hacker está de su lado tendrá dulces sueños, si no, es mejor que duerma con un ojo abierto y abrace fuerte la almohada porque al igual que la canción de Metallica, cuando se va la luz y entra la noche su seguridad se va a la tierra de nunca jamás, así es, nunca jamás verá sus datos o dinero y tendrá la peor de sus pesadillas. Pero no todos los Sandman son tan malos, en el gremio también están los conocidos como White Hats, aquellos que más bien protegen la información. Para conocer más a profundidad la cultura de estos individuos, IT Now entrevistó a un grupo de hackers de distintas partes del mundo. ¿El descubrimiento más relevante? Independientemente de los objetivos de cada uno, ya sea para fines maliciosos o para proteger una empresa, a todos los motiva la curiosidad por lo desconocido. “Hacker es una persona que tiene una curiosidad en extremo por alguna área en específico y esa te lleva a investigar más allá de lo que te han enseñado o puedas saber. Esto te permite obtener ciertos SECURITY niveles de conocimiento para encontrar fallas en el sistema, cómo mejorarlo, cómo vulnerarlo, etc.”, explicó Álvaro Andrade, CEO de Ethical Hacking Consultores. Una radiografía de hackers, tanto los de sombrero blanco –aquellos que trabajan para proteger a las organizaciones de manera legal-, como los de sombrero negro –que atacan para obtener un beneficio personal-, nos dejan estos hallazgos: mencionó Pablo Barrera, White Hat y fundador de Pakal Security Labs. En el caso de Edson Borelli, coordinador Global de Seguridad e infraestructura en Futura Networks, él sigue su propia ética que se basa en no hacerle daño a ninguna persona, más bien lo que trata es de enseñar, por eso brinda ponencias en todo el mundo. Los códigos de ética se basan en no hacer daño a El motivo del crimen “Mi motivación principal todavía se centra en el aprendizaje y la comprensión sobre los últimos tipos de ataques y tendencias en TI que son verdaderamente únicos. Por ejemplo, estoy fascinado por contenedores de software como Docker. Sospecho que en un corto período se verá más y más sobre estos contenedores, en relación a eso alguien va a desarrollar una manera de hackear o encontrar vulnerabilidades significativas. Eso va a ser divertido verlo”, expresó de Chris McKie, White Hat y director de Comunicación Corporativa de Gigamon. En otros casos, la motivación va más allá de la curiosidad y está ligada a propósitos personales, algunos sombreros negros hacen sus ataques porque simplemente tienen ganas de causarle daño a una empresa por un motivo específico, o bien cuando un tercero quiere perjudicar a la competencia y contrata a un hacker para que lo haga. También existen los que buscan ganarse dinero y extorsionan a los usuarios para devolver los datos o bien los venden en sitios de la Deep Web. “El principal problema es la compensación económica, ser un hacker de sombrero negro paga mucho mejor que un hacker de sombrero blanco, esa motivación hace que la gente apunte hacia la parte oscuro. De hecho, si fuera un sombrero negro, no tendría esta conversación con vos, no trabajaría legalmente en una empresa, tendría un perfil oculto”, comentó Matías Katz, hacker ético y CEO de MKit en Argentina. Lo cierto es que todos han pasado por esa etapa de oscuridad. “No hay nadie hoy día que trabaje en temas de hacking o ciberseguridad, un sombrero blanco, sin que nunca haya tenido el sombrero negro puesto”, dijo Álvaro Andrade, de Ethical Hacking Consultores. Respeto entre colegas En el mundo de los hackers existen una serie de reglas y códigos no expresos en los cuales se respetan a aquellos “profesionales” que tengan más tiempo en el ambiente, aquellos que hayan estado en la vieja escuela cuando todo empezó y también aquellos cuyos logros marcan una distinción. “Soy miembro de una organización a nivel mundial que nos rige bajo un código de ética profesional. Para obtener esa certificación ellos realizan una investigación y se deben mandar recomendaciones de otros profesionales ya certificados. Esto le garantiza a las empresas que el trabajo que se hace es profesional y bajo estrictos códigos de ética”, Matías Katz MKIT “El principal problema es la compensación económica, ser un hacker de sombrero negro paga mucho mejor que un hacker de sombrero blanco, esa motivación hace que la gente apunte hacia la parte oscura”. 29 un individuo que está dentro del círculo y no afectar a quien no esté haciendo un mal. Por ejemplo, en los casos conocidos de hacktivismo, que es la combinación entre hacking y activismo, generalmente los ataques van dirigidos hacia compañías que están haciendo, desde la perspectiva de los perpetradores, un mal, por ejemplo, gobiernos de facto, tiranos o empresas petroleras que están contaminando el medio ambiente. “Nosotros con Anonymous Brasil éramos llamados para hacer todos los ataques globales, yo trabajaba con cuatro personas y estábamos al frente de todos los ataques que estaban ocurriendo. Brasil tiene los mejores hackers del mundo, estábamos coordinados por Anonymous y estuvimos en esa fase durante dos años. En un momento, tuvimos que avisar a todos los bancos que para una hora y día específico se caerían los sistemas pero les dijimos cómo podían protegerse”, recordó Borelli, quien fue parte de este movimiento de hacktivistas. La estrategia más popular Una de las estrategias que se ha vuelto popular entre los hackers tiene que ver con la Federación Iberoamericana de Asociaciones de Derecho e Informática (Fiadi), se refiere a la protección de datos personales a nivel de registros biológicos, ya que muchas aseguradoras toman los datos médicos, para posteriormente, con los diagnósticos, incrementar la prima del seguro. Actualmente, esas bases de datos no están reguladas y hay un mercado negro que está traficando esa información a nivel de aseguradoras. Otra de las estrategias es la famosa ingeniería social que tiene un 100% de efectividad, ya que normalmente el eslabón más débil de la cadena de la seguridad de la información es el usuario. En muchos casos los hackers buscan el camino más fácil para entrar a la red, a menudo detectan los puertos que están abiertos y envían spam a los emails con un enlace malicioso para ver quién hace clic en ellos. De este modo revisan si los nombres de usuario o contraseñas suministrados por el proveedor de los routers o access points no se han cambiado y sondean la red para ver dónde están los putos débiles, si no pueden encontrar alguno se mueven al siguiente objetivo. Desde hace algunos años la región centroamericana es atractiva para los hackers porque hay muchas pequeñas o medianas empresas con pocos controles de seguridad, en el caso de los cibercriminales que son inteligentes y sofisticados, actúan en una escala global y atacan a todos por igual. “América Central no era más que un juego para los hackers y aprendices, sin embargo hoy el comercio ha empezado a surgir con más fuerza con la banca electrónica y los pagos móviles que se combinan con las redes inalámbricas inseguras, lo cual hace que haya más elementos atractivos”, dijo Nelson Chacón Reyes, especialista en seguridad informática de Latam CSI. SECURITY 30 Nacidos para hackear Como la canción que acompaña los viajes en motocicleta del Easy Rider, quienes se hacen llamar hackers parecen predestinados para desprogramar computadoras y sistemas. Estas son sus historias, contadas por ellos mismos. Quisi Aguilar Slash, hacktivista de Anonymous Brasil “No concuerdo con la expresión ciberdelincuente” TIPO DE HACKER: Soy hacktivista, pero no concuerdo con la expresión ciberdelincuente. NACE UNA PASIÓN: Trabajo con software solo para la obtención de información, como herramientas de ataque, negación de servicios, ingeniería social y para analizar el tráfico en la red. Yo tengo este estilo de vida hace 9 años, hoy tengo 26 años. HERRAMIENTAS FAVORITAS: Me gustan las herramientas del Día Cero creadas por otros grupos undergound como Kali Linux y otros sistemas operativos de seguridad. BRECHAS DE SEGURIDAD: SQL Injection, es una falla muy explotada pues busca información dentro de banco de datos y todas las fallas divulgadas a nivel global en los últimos tiempos como Shellshock, Bashscript, Poodle y SSL. PROYECTO MÁS EXITOSO: Todas las grandes operaciones de Anonymous Brasil desde su fundación entre el 2008 y 2009 hasta 2013. Proyectos como Lulzsec Brasil, Brasilian High Tech Team, ataques a bancos de Brasil, gobierno y Sony global. ¿USA LA DEEP WEB? Cuando es necesario sí, la uso para las transacciones financieras por Bitcoin o en busca de conocimiento avanzado en múltiples niveles. Robert Hansen, VP de WhiteHat Labs, Grupo de Tecnología Avanzada de EE.UU. “Trato de evitar sentimientos acerca de la tecnología” TIPO DE HACKER: Sombrero blanco, paso mucho tiempo desarrollando nuevo software y técnicas que nunca se han visto antes. NACE UNA PASIÓN: Me involucré en la seguridad hace más de 20 años. Creo que mi pasión no creció de la tecnología, pero si del rompecabezas de la misma, me gustan los desafíos. No pude encontrar el tipo de retos mentales que necesitaba en otras industrias y los ordenadores si atrajeron mi interés. HERRAMIENTAS FAVORITAS: Yo no tengo ninguna herramienta favorita, puedo usar lo que necesito para hacer el trabajo. Es cierto que hay algunas herramientas que son más fáciles que otras pero realmente trato de evitar tener sentimientos acerca de la tecnología, solo uso lo que sea más adecuado para el trabajo. BRECHAS DE SEGURIDAD: Inyección de SQL, inyección de comandos y Cross Site Scripting son probablemente más explotados. Eso es porque los tres son comunes, fáciles y dan la atacante exactamente lo que necesitan. PROYECTO MÁS EXITOSO: Podría ser el XSS Cheat, Slowloris, Content-Security, X-Frame-Options, X-XSS-Protection IE. Todo era cuestión de poner la cabeza hacia abajo para encontrar soluciones creativas a los problemas que nadie había pensando. SECURITY Matías Katz, CEO de MKit “Cuando alguien pasa al lado oscuro no vuelve” TIPO DE HACKER: Ético. Cuando alguien se pasa al lado oscuro no vuelve, por más que te metan preso con condenas, al día siguiente que salís compras una computadora y seguís haciendo lo que hacías, eso es para siempre, no hay reflexión. NACE UNA PASIÓN: Todo empezó cuando tenía 6 años y estaba tratando jugar “El príncipe de Persia”, había un nivel que no podía pasar, lo que hice fue entrar a los archivos que estaban detrás del juego, lo entendí y anoté en el archivo de configuración el nivel en que quería estar. Todo fue empírico, no fui a la facultad no hice ninguna especialidad, solamente me senté y empecé a investigar hasta el día hoy. HERRAMIENTAS FAVORITAS: Las herramientas que utilizamos son las mismas que se emplean para fines maliciosos, cualquiera que sea su motivación: • Wireshark: Es un analizador de tráfico para solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos. • Nmap: Descarga una identificación de una red y brinda como resultado cuáles son los equipos que están dentro de la red y sus puertos abiertos. • Nessus: Analiza directamente un grupo de servidores disponibles y rastrea las vulnerabilidades que pueden llegar a tener en los servicios que están corriendo. • Acunetix: Es exclusivo para el análisis web, eso se lo pasa a una aplicación publicada en Internet y detecta cuáles son las vulnerabilidades que pueden tener los desarrolladores del cliente. BRECHAS DE SEGURIDAD: La que más aparece en todos los sitios son las inyecciones SQL, es una acción que se hace a través de una vulnerabilidad en las páginas web. Habla con la base de datos de la empresa y descarga información, esto es ilegal e invasivo, si no tiene una autorización del cliente para hacerlo está violando la ley, ese fue el ataque que se hizo en el caso de Ashley Madison. PROYECTO MÁS EXITOSO: Un software que analiza comportamientos específicos en redes sociales donde podemos captar en tiempo real con una demora de menos de 10 segundos todo tipo de interacción, podemos localizar de donde vino la información, si es positivo o negativo. 31 Vitaly Kamluk, principal experto en seguridad de Kaspersky Lab y colaborador de Interpol El programador que luchó contra Cosmic Duke y Dark Hotel TIPO DE HACKER: Sombrero blanco, con más de 10 años de experiencia en seguridad informática. Especializado en ingeniería inversa de malware, informática forense e investigaciones sobre el cibercrimen. Actualmente trabaja con la Interpol. NACE UNA PASIÓN: Yo he estado desarrollando programas desde la primera vez que vi una computadora. Tenía unos 12 años. ¿Qué me interesó? Es una curiosidad natural que cada niño tiene cuando encuentra la manera de crear algo nuevo en este mundo y eso fue lo que hice, crear programas que controlaban la computadora y le hacían seguir mis instrucciones. HERRAMIENTAS FAVORITAS: Utilizo herramientas estándar para los investigadores de seguridad. Admiro y respeto mucho el modelo de código abierto en programas de software porque es la mejor forma inventada para poder compartir conocimiento en este campo. LA MOTIVACIÓN: Encuentro motivación dentro de mí mismo. Es relacionado a la responsabilidad que siento como ser humano. PROYECTO MÁS EXITOSO: Soy miembro de un equipo elite de investigadores de amenazas y he contribuido a muchas investigaciones que han sido publicadas como la lucha contra el Cosmic Duke, Dark Hotel, Duqu, Madi, Flame, Turla, Blue Termite, The Mask, Equation, Wild Neutron y muchos más. SECURITY 32 Saúl Gamarro, hacktivista de Tecnocracia Guatemala Teo Barbas, Anonymous Guatemala “Nos tiene sin cuidado que un gobierno nos catalogue de criminales” TIPO DE HACKER: Hacktivista, no nos interesa hacer dinero de esto, si no seríamos espías industriales y nos tiene sin cuidado que un gobierno nos catalogue de cibercriminales, al final es el pueblo el que juzga y tenemos el apoyo popular. NACE UNA PASIÓN: Nace por la necesidad de adaptarse a las nuevas tecnologías para manifestarse, para demostrar el descontento ciudadano. Somos un colectivo mundial, no hay jerarquías, líderes o dueños, no respondemos de manera individual, a nivel mundial nace hace casi una década, en Guatemala iniciamos operaciones en 2009. “Me metí en demasiados problemas como para querer recordarlo” TIPO DE HACKER: El hacktivismo tiene una agenda específica con ciertos temas, algunos los comparto, otros no. Los principios y valores que me enseñaron en casa no me permiten encajar a las categorías de hacker que Hollywood presenta. NACE UNA PASIÓN: En 1992 no tenía ni idea de que era una computadora y un amigo de mi papá acababa de comprar la suya, por alguna razón extraña dejó que un niño de 7 años jugara con ella. Después de 23 años sigo jugando con computadoras y con cierta obsesión permanente de buscar la manera de que las cosas funcionan y cómo hacer para que funcionen de la manera que yo quiero. HERRAMIENTAS FAVORITAS: Ion Cannon, bots, shells, entre otros juguetes. BRECHAS DE SEGURIDAD: SQL y control directo de los blancos, usando rats. Pero no es la única manera, debilidad o herramienta que existe o que aprovechamos. ¿USA LA DEEP WEB? Por supuesto, hay información que solo por esa vía compartimos, aunque hemos hecho operaciones contra sitios de pornografía infantil que existían en esta red. PROYECTO MÁS EXITOSO: Hackear la página del TSE y la SAT, los detalles no los brindaremos, pero si hubiéramos querido, habríamos liberado información de millones de personas, que se supone que esas entidades mantienen de manera segura. HERRAMIENTA FAVORITA: Notepad+ BRECHAS DE SEGURIDAD: Una muy popular es la más fácil de hacer, pero la más compleja de ejecutar. El Social Hacking es vulnerar la propia seguridad del usuario en vez del sistema. A veces se puede obtener cierta información de los usuarios y acceso a sus cuentas sin ni siquiera programar una línea de código. PROYECTO MÁS EXITOSO: Me metí a demasiados problemas como para querer recordarlo, solo puedo decir que las personas que se dedican a desarrollar software de seguridad son muy buenas y saben lo que hacen, a diferencia de los usuarios comunes que por desconocimiento abren las puertas de información importante sin darse cuenta. LOS HACKERS QUE HICIERON HISTORIA • Gary McKinnon: • Albert González: • Kevin Mitnick: • Astra: • Jonathan James: Vulneró cerca de 100 servidores militares y de la NASA estadounidense desde febrero de 2001 hasta marzo de 2002. Eliminó información confidencial, software y archivos, el gobierno de Estados Unidos gastó más de US$700.000 para recuperarse de los daños. Él se burló de los militares al publicar: “Su sistema de seguridad es una mierda. Estoy solo”. Ahora ofrece servicios de seguridad informática. Fundó el sitio Shadowcrew.com, que tuvo 4000 miembros, en el sitio se podían comprar o vender números de tarjetas bancarias, se intercambiaron más de 170 millones de tarjetas de crédito y débito desde 2005 hasta 2007. Fue arrestado en mayo de 2008 y no estará fuera de la cárcel hasta el 2025. Irrumpió las redes de Pacific Bell, Nokia, IBM y Motorola. Lo arrestaron en 1995, después de 12 meses en prisión y tres años de libertad supervisada, continuó la piratería con el uso de celulares clonados y fue condenado a prisión por cuatro años en 1999. Se convirtió en el criminal informático más buscado en el país en ese momento. Ahora es un White Hat. Nunca fue identificado públicamente, solo se sabe que tiene 58 años, detenido en 2008 por las autoridades griegas porque vulneró los sistemas de la compañía de aviación Grupo Dassault durante 5 años. Vendió los datos robados a 250 personas por US$1000 a cada uno. A los 16 años se infiltró en el sistema escolar de Miami-Dade, la NASA y el Departamento de Defensa, se robó el software del gobierno con un valor de US$1.700.000. Cuando el equipo de Albert González robó información de tarjetas de crédito en 2007, el servicio secreto investigó a James, quien afirmó que no tenía nada que ver con los robos. Por miedo a ser procesado por crímenes que no cometió, James se suicidó en su ducha en mayo de 2008.