This page looks best with JavaScript enabled

[Documentos del Lado Oscuro I]Diario de un Hacker cansado

 ·   ·   9 min read

Buenas a tod@s luego de mas de una semana sin publicar en el blog :( primero ideas a montones nunca termine ¬¬ de escribir ninguno no se si por vagal o por falta de inspiración el dia de hoy me puse a ordenar todo el material que tengo y aun mas encontre información del 1991 al 2001 cuando comenzaba en estos lares, como todo un no0b revisando información bajando y probando, solo de recorrdar me traen recuerdos que cada dos por tres mataba mi windows Millenium y mi XP, asi que al ver esos archivos se me vino la idea de crear esta nueva serie de entradas [Documentos del Lado Oscuro].

Esta vez el primer Documento del Lado Oscuro sera el Diario de un Hacker Cansado. Como ven esta captura fue modificado el Miercoles 05 de Septiembre 2001.

Realizo el copyPaste tal cual anda en el documento.

Diario de un Hacker cansado.

Me gustaría también antes que nada agradecer a Mercé Molist, el artículo publicado en Ciberp@is el día 9 de Agosto de 2001 al que me remito.

H V C

No le gusta que lo llamen hacker: ‚ÄúS√≥lo soy el tuerto en el pa√≠s de los ciegos, una persona con m√°s inquietudes de lo normal, el alumno que cuestionaba lo que dec√≠a el profesor‚ÄĚ. Pero, con 27 a√Īos, HVC tiene un curr√≠culo de intrusiones a sistemas que quita el hipo y un impresionante laboratorio casero, con seis ordenadores llamados Buitre, Halc√≥n, C√≥ndor √≥ √Āguila. Su aventura es sorprendente, pero el camino no difiere del de la mayor√≠a de los hackers. Ahora lo deja, pero antes quiere contar lo poco segura que, para √©l, es la red.

1983

Tuve mi primer ordenador, un Commodore, a los 9 a√Īos. M√°s tarde compr√© un Spectrum, pero mi madre lo vendi√≥, consideraba que pasaba demasiado tiempo con √©l.

1994

Ingres√© en la Escuela Naval Militar, en Pontevedra. Ten√≠amos una asignatura de inform√°tica pat√©tica y unas cuantas m√°quinas en red. Mi √ļnica preocupaci√≥n era intentar acceder a ellas. Pero no encajaba en el ej√©rcito, as√≠ que comenc√© los estudios de mec√°nica de Aviones. Mientras mis compa√Īeros se preocupaban por entender como se arreglaba una aver√≠a, yo imaginaba situaciones l√≠mites y sabotajes. Parec√≠a sencillo.

1997

Acabados mis estudios fui a Murcia y empecé Informática de Sistemas en la UNED. Pedí una beca y me la denegaron, fue una de las mayores decepciones de mi vida. No entendía que un trámite burocrático me impidiera estudiar algo para lo que me sentía totalmente válido. Y tomé la decisión de aprender solo. Si el Estado no me ayudaba, lo haría por mi cuenta.

Septiembre de 1998

La Universidad de Murcia se convirti√≥ en mi centro de pruebas particular. Hab√≠a conseguido un pase para las salas de ordenadores y me quedaba hasta que cerraban. Un d√≠a necesit√© instalar un programa, pero los encargados no me dejaron, aludiendo que necesitaba privilegios de administrador. Ah√≠ empez√≥ todo. Tras un mes de investigaci√≥n y gracias a una contrase√Īa d√©bil, pude hacerme con un sistema. Era la primera vez que entraba de forma no autorizada en una m√°quina. La contrase√Īa me permit√≠a acceso f√≠sico a cualquier ordenador de la universidad, pero pronto desee m√°s: quer√≠a hacerlo remotamente. Era como si algo me dijera:‚ÄĚpuedes hacerlo…demu√©strales que puedes‚ÄĚ.

Noviembre de 1998

El objeto de mi deseo era el PDC (Primary Domain Controller), el ordenador central. Ah√≠ estaba la contrase√Īa del Administrador y el control absoluto sobre m√°s de 1.000 ordenadores. Se me pon√≠a la piel de gallina s√≥lo con pensarlo. Y les tend√≠ una trampa: expliqu√© privadamente al administrador que hab√≠a conseguido acceso no autorizado y le met√≠ miedo. Cuando sal√≠ de la entrevista, corr√≠ a espiar la red. Si el plan hab√≠a funcionado, se conectar√≠a al PDC para comprobarlo. Efectivamente, 20 minutos despu√©s captur√© su contrase√Īa, ya era m√≠o.

Diciembre de 1998

Durante mas de cuatro meses pude acceder a casi todos los ordenadores de la universidad. Ten√≠a una sensaci√≥n de omnipotencia dif√≠cilmente explicable. Le√≠a el correo de la gente, pod√≠a apagarles el ordenador remotamente…., llegu√© a hacerme con gran cantidad de informaci√≥n (material de investigaci√≥n, proyectos, ex√°menes, claves) y desde all√≠ acced√≠ a otras universidades.

Primavera de 1999

Fui a Barcelona. Encontré empleo como técnico de sistemas. Arreglaba ordenadores y pronto estuve administrando sistemas. Tuve la oportunidad de conocer, desde dentro, como estaban organizadas las redes de las empresas. Pero mis jefes no veían con buenos ojos mi afición a la seguridad, porque les demostraba como podían saltarse las barreras que ellos instalaban. Así que hacía una doble vida: de día era un humilde técnico de sistemas, de noche investigaba y aplicaba lo aprendido en un entorno real: Internet.

Mi cuarto pronto se convirti√≥ en un laboratorio de pruebas. Cuando aparec√≠a una nueva vulnerabilidad, la probaba en mis m√°quinas y, cuando dominaba la t√©cnica, la usaba para acceder a ordenadores. Ahora, mis objetivos eran la Administraci√≥n P√ļblica y las grandes empresas. En unos meses, entr√© en cientos de sistemas, solo para comprobar su seguridad. De todos los entornos que vi (un 90% en Espa√Īa), el menos cuidado era el de la Administraci√≥n.

Oto√Īo-Invierno de 1999

Entro en la Base de Datos de una gran constructora, con informaci√≥n sobre contratos, beneficios y proyectos de clientes. Tambi√©n acced√≠a servidores web de medios de comunicaci√≥n y a los directorios de un importante proveedor espa√Īol, que alojaba m√°s de 1.000 p√°ginas web, entre ellas la de la Agencia de Protecci√≥n de Datos. Mientras, encontr√© un nuevo empleo en otra peque√Īa empresa de servicios inform√°ticos.

Enero de 2000

Me enviaron a una conocida ONG, donde el rendimiento de la red hab√≠a disminuido, y descubr√≠ algo extra√Īo: un programa, instalado en varios ordenadores, que estaba generando un ataque a toda la intranet. M√°s tarde supe que lo hab√≠a instalado un extrabajador de mi empresa, con el √°nimo de vender una consultor√≠a a la ONG: har√≠an como que revisaban algo durante unos d√≠as, desinstalar√≠an las herramientas que disminu√≠an el rendimiento, todo volver√≠a a la normalidad y el cliente, contento.

Abril de 2000

Entra trabajar en una conocida consultora y, por fin, me veo como T√©cnico de seguridad Corporativa. Aprovecho para aprender sobre programas comerciales: si conoces la √ļltima tecnolog√≠a (empleada en banca, ISPs, etc) ya no hay l√≠mites. Para mi sorpresa y desgracia de los clientes, comprob√© que las auditor√≠as se asignaban a personajes que no eran muy expertos en intrusiones y hacking. Mientras, por las noches, segu√≠a husmeando en sistemas, cada vez m√°s gordos. Cuando accedo no suelo notificarlo, porque la experiencia me dice que no sirve de nada. Si el fallo era muy grande o el administrador dejaba el sistema abierto durante meses, marcaba la p√°gina. Hacer el rid√≠culo es la √ļnica forma de hacer reflexionar, a veces.

Octubre de 2000

Me topé con el servidor web de una multinacional, donde estaban montando un sistema de comercio electrónico y no se le había ocurrido otra cosa que almacenar las claves privadas allí mismo. Había también un informe detallado de toda la infraestructura que se montaría. Les avisé marcando la página. Al día siguiente, la mayoría de las publicaciones electrónicas hablaban de ello, pero un mes después, la web seguía siendo vulnerable.

Noviembre de 2000

Buscaba informaci√≥n personal de mucha gente y se me ocurri√≥ mirar en las empresas de trabajo temporal. Di con una que dec√≠a: ‚ÄúTenemos una de las bases de datos m√°s importante de Internet‚ÄĚ. Hummmm..Consegu√≠ entrar en la m√°quina, donde descubr√≠ una base de datos de m√°s de 70.000 curr√≠culos, con todo tipo de informaci√≥n. La p√°gina principal de su web dec√≠a algo sobre confidencialidad y la Ley Org√°nica Reguladora del Tratamiento Automatizado de Datos (LORTAD). Que se lo digan a esas 70.000 personas.

Diciembre de 2000

Hac√≠a tiempo que ten√≠a ganas de probar suerte con los bancos as√≠ que, una noche busqu√© algunos no espa√Īoles para hacer pruebas. Acced√≠ a dos, mientras miraba Cr√≥nicas Marcianas. Uno de Senegal y otro de Hawai, abierto de par en par, con los datos de mas de 2.000 personas que realizaban transacciones a trav√©s de su web. Incre√≠ble.

Enero de 2001

Una de las empresas inform√°ticas con m√°s facturaci√≥n ten√≠a un agujero en el servidor web. Les modifiqu√© la p√°gina y esper√©. Dias despu√©s, hab√≠an arreglado el cortafuegos, pero no el servidor vulnerable. Me lo tom√© como un reto. Invit√© a un amigo una noche y pensamos como saltarnos el cortafuegos para llegar al servidor. Fue la noche m√°s emocionante de mi vida. Descubrimos que aceptaba cookies (peque√Īos ficheros de texto) y, ¬°bingo!, forzamos al servidor a coger una, creada expresamente, que hizo aparecer en la web:‚ÄĚ 2 0‚ÄĚ. T√©cnicamente fue muy interesante. Pero jam√°s apareci√≥ nada en los medios. Las empresas callan. Por eso los hackeos mas divertidos se hacen el fin de semana, cuando sabes que ning√ļn administrador sabr√° solucionar el problema desde casa y la p√°gina quedar√° marcada hasta el lunes.

Primavera de 2001

Mientras trabajaba en la consultora, fui haciéndome una idea de los errores típicos de sitios importantes. Una vez, instalaba un producto en un banco cuando vi que el cortafuegos tenía graves agujeros. Se lo comuniqué al encargado y sólo conseguí una bronca brutal. A veces, encuentras ordenadores fácilmente accesibles en lugares de alta tecnología o militares, donde se supone que deberían tomárselo en serio. Igualmente, puede pensarse que entrar en los sistemas de un banco es difícil. Nada más falso.

El problema es moverte por dentro, pero no entrar. Hoy en día hay métodos que funcionan en el 90% de los sitios.

Verano de 2001

Hace menos de tres meses deje la consultora. No estaba de acuerdo con su forma de actuar y me parec√≠a una estafa. El mercado se est√° llenando de ‚Äúexpertos‚ÄĚ salidos de la nada, con estupendos trajes y mediocres conocimientos de seguridad telem√°tica. ¬ŅQu√© experiencia real en t√©cnicas de intrusi√≥n tienen esos personajes? Normal mente ninguna.

Se necesita un ladr√≥n para coger a otro ladr√≥n y, eso, no lo ense√Īa ning√ļn catedr√°tico.

Que les parecio el diario de un Hacker yo ni me recordaba de este documento, de esta manera decidio retirarse, pero solo digo se retiro de verdad o es alguien que anda ahi en la red,  y ahora cambio todo?.

Ademas de todo el documento me gusto bastante la ultima frase la cual la puse en Negrita del mismo modo algunas partes del documento.

Espero sus comentarios… Feliz Dormingo

Share on
Support the author with

Avatar
WRITTEN BY