Copy Link
Add to Bookmark
Report
SET 022 0x11
-[ 0x11 ]--------------------------------------------------------------------
-[ Hacking: Solo para criminales? ]------------------------------------------
-[ by Madfran ]------------------------------------------------------SET-22--
UN POCO DE FILOSOFIA
--------------------
En este primer mes del nuevo milenio, han pasado por mis manos (y por
otras mucha mas), dos noticias con un algunos puntos comunes. Nuevas
tecnologias, robo de informacion, ..... castigos ejemplares (y falta
de ellos).
Me gustaria compartir con vosotros, algunas de las reflexiones que me
he hecho, o sea, este articulo no va a ser un pe~azo de tratado tecnico
sobre las rendijas de seguridad en los programas basados en Windows,.....
sera un tocho sobre filosofia general y escarmiento en cabeza ajena
(algo que todo el mundo sabe, pero que no siempre sabemos aplicar).
PRIMER INPUT
------------
Pasemos a la primera noticia. Corria el 20 de Enero de 2000, estaba
sentado placidamente en la silla, tras la mesa de mi despacho, intentando
olvidar las ultimas majaderias que tuve que soportar en la enesima
reunion sobre motivacion empresarial, cuando el beep de mi ordenador me
informo que un nuevo e-mail acababa de llegar al servidor local de
nuestra red corporativa. Mi primera idea fue dejar que reposara en
las entra~as de la maquina infernal, pero mi reconocido sentido del
deber (y el miedo a perder el puesto de trabajo), me impulso a mover
mi mano sobre el raton y abrir el cliente de mensajeria, que permanecia,
comodamente alojado, en segundo plano de las tareas de mi PC.
Este acto tuvo su premio (dicen que todos los sacrificios tienen
finalmente su recompensa), y en lugar del e-mail informando que el
modulo RESI8 del nuevo sistema integrado de contabilidad SOP3, habia
sido instalado con exito,en la region de Sanscracia (...pobres usuarios !),
aparecio en mi pantalla el mensaje diario, con el resumen de las noticias
mas importantes, de la publicacion a la cual estoy, gratuitamente,
subscrito.
Rapidamente pase las noticas internacionales, economicas y demas, iba ya
a borrar sin mas el mensaje del servidor ( ah! iluso! seguro que guardan
una copia de todo lo que recibo), cuando algo capto mi atencion :
"DESARTICULADA UNA RED DE DEFRAUDADORES DE LINEAS TELEFONICAS A TRAVES
DE INTERNET"
Como la noticia no tiene gran cosa que ver con el trabajo por el cual me
pagan, uno tiene cierto orgullo profesional y tenia otras cosas que hacer,
imprimi rapidamente la noticia, con la sana intencion de leerla comodamente
en casa.
De vuelta a mi dulce hogar, mientras soportaba los habituales atascos que
comtribuyen a mejorar mi proverbial buen caracter, la radio no hizo mas
que recordarme la notica que llevaba impresa en mi maletin. O sea, que
cuando finalmente llegue, me sabia de memoria lo que todavia no habia
tenido tiempo de leer. Total no era gran cosa, no entendia el porque
de tanto bombo y platillo.
En resumidas cuentas, se trataba que nuestro bienamado cuerpo de la
Guardia Civil en Spain (Grupo de Delitos de Alta Tecnologia), con su
capitan Don Anselmo del Moral al frente, habian "conseguido desarticular
una red de defraudadores en lineas telefonicas a traves de la red
Internet..."
[........estooooooo.... probablemente es al reves (pense yo), algunos
desgraciados, han estado conectados a Internet utilizando lineas
telefonicas de propiedad ajena.]
"..., lo que tecnicamente se conoce como freakers,..."
[me imagino que habran querido escribir phreakers]
El articulo, continuaba explicando, de una forma un poco confusa, que en
una operacion que habia durado mas de un a~o y de nombre Millenium,
habian detenido a 55 personas, de ellas doce en Barcelona (Spain).
Dichas personas estuvieron utilizando lineas 900, sin derecho para
ello, con gran regocijo de todos los chats enterados de este pais
(y otros de misma lengua) y gran pasividad de los legitimos propietarios.
A continuacion algunos numeros entresacados del susodicho articulo :
- ..algunos casos ascienden a unos diez millones de pesetas mensuales
- ..llamadas por importes superiores a las 50.000 pesetas
- ..empresas afectadas, Microsoft, Toshiba
Reflexionemos un poco. Cualquiera que este minimamente habituado a leer
soporiferos informes en una multinacional, sabe que cuando se escriben
cosas asi, significa que hay UN caso de 10 millones y UNA llamada de
50.000 pelas. Si seguimos reflexionando y nos fijamos en nombres como
Microsoft (os suena?) caereis en la cuenta que a empresas de este
tama~o les importa un rabano este tipo de robos (solo se preocupan,
cuando les saturan un servicio) y hubiesen pagado por no salir en la
noticia. Si a esto a~adimos algunos detalles (Millenium, principo de
siglo, etc), llegareis probablemente a las siguientes conclusiones :
- Esto es un montaje publicitario.
- Los pobres desgraciados de la cacareada red, eran simples soplapollas.
(sin animo de ofender a los que, dignamente, se dediquen a soplar pollas,
caso, de que dicho oficio exista).
[ Nota Editorial: Opinion puramente de Madfran, no necesariamente compartida
por si no alguno no sabia para que esta el disclaimer.]
Mas que nada, porque soy un poco masoquista, mientras me bajaba los
mensajes en mi casa, me conecte con la web de La Guardi Civil
(www.guardiacivil.org por si a alguien le interesa) y lei su version de
los hechos delictivos.
Pues nada del otro mundo! (bueno, al menos escribian bien phreaker),
daban algunos datos mas (nombres como DANKO, COM 30, etc) y tres
(tres se~ores, tres!), fotografias relacionadas con el hecho.
- Un cable conector
- Un mapa de Spain
- Un sofa mugroso, con papeles encima
....archive en algun recondito lugar de mi cerebro la informacion
recibida y no pense mas en el asunto.......hasta el 29/01/2000.
SEGUNDO INPUT
-------------
En este caso el escenario es distinto. Sabado por la ma~ana,
comodamente sentado en una cafeteria, leo el diario (evidentemente,
version papel), mientras simultaneamente intento aparentar un enorme
interes en lo que mi compa~era de fatigas, me dice. Una noticia a
media pagina, me salta a la vista :
"El pinchazo global"
Aqui el tema era mucho mas serio. Un informe elaborado, a peticion del
Parlamento Europeo, por un periodista especializado (un escoces llamado
Duncan Campbell), ha sacado a la luz, una red de espionaje industrial.
En este caso el asunto era un poquito mas interesante. Aparentemente la
Agencia Nacional de Seguridad norteamericana (NSA), la CIA, el
Departamento de Comercio (DOC) de EE.UU y la Agencia de Comunicaciones
Gubernamentales del Reino Unido (no me invento nada, solo transcribo),
han estado interceptando las comunicaciones entre las compa~ias europeas
y sus posibles clientes.
Objetivos ?
Pues bastante claros. La firma "Y" de Alemania esta negociando un
contrato para cambiar los radares de todos los aeropuertos de Africania.
Si estas pinchando las comunicaciones de la sede de Y, (todo eh!,
telefonos, faxs, lineas dedicadas, mobiles,...), te enteraras de la
cantidad que estan ofreciendo oficialmente, la que ofrecen
extraoficialmente, la que quieren dar al funcionario tal, que nadie
sabe que existe, pero es que realmente decide al final.
Si esto no es suficiente, puede que te enteres de los lios privados
del que mueve los hilos en la firma "Y" en este asunto, porque hizo
aquel viaje tan raro acompa~ado por la prima Emilia (que segun parece,
no tiene el menor parentesco con golfante en cuestion) e incluso de sus
enfermedades inconfesadas (tiene almorranas!) o de su fiel secretaria
(aprovecha el momento en que tiene su visita periodica al galeno, para
cambiar algo en un documento en el ultimo momento, total, el golfante
tampoco se lo lee.)
Consecuencias ?
- Perdida de contratos de la firma francesa Thomson con el Gobierno de
Brasil, por un valor de 216.000 millones de pesetas.
- Perdidad de contratos entre Airbus y el Gobierno de Arabia Saudi por en
valor de un billon de pesetas.
- ......ya basta, no ?
Medios ?
- 40 satelites espias.
- Submarinos.
- Profesionales en escuchas telefonicas.
- .....venga !, ya esta bien ....
Entre los sofisticados medios de que disponen estos chicos, esta
(segun el periodista), un super programa, capaz de descifrar cualquier
clave secreta, llamado N-gram. Bueno,... creo que esto ya entra dentro
de la cultura ( o falta de ella) del escritor del articulo, porque si
navegais cinco segundos por Internet, os podreis enterar que el N-gram
es solo una estrategia matematica empleada en los programas de
reconocimiento de voz.
Volvamos a nuestro articulo. Que me dices ? ...., perdidas
millonarias,..... espionaje a nivel mundial,.....grandes medios en
juego,.....aqui seguro que van a caer cabezas !
Con sumo placer morboso, continuo la lectura del articulo y....
nada ! Aqui no hay culpables, aqui no han jueces, aqui no hay .....
nada ! Timidamente, la Eurocamara debatira el tema en febrero de 2000
y el Senado belga tenia que hacerlo el 31/1/2000. Os puedo ahorrar la
busqueda por las hemerotecas de Internet, porque ningun periodico de
Spain se hizo eco de ningun debate en Belgica por este tema.
Esto me recuerda el viejo chiste. "Si debes un millon de pelas al
banco, tienes un problema. Si debes mil millones, el problema lo tiene
el banco"
[ Daemon: Sobre el tema de la criminalizacion del hacking ya se escribio
en SET 13 (febrero 98) apuntando motivos y culpables.
Sobre la comparacion con los delitos "reales" como Echelon tambien
escribio un tipo muy avispado ;-) en SET 14 (Abril 98) algo como:
"Esta vigilancia esta vulnerando la leyes de todos los paises, los
derechos constitucionales que protegen la privacidad y la intimidad.
Y que?. NADA.
Mientras que la policia y el Estado se afana en empapelar a un
chavalillo de 17 a~os porque ha entrado en un ordenador y acaso ha
borrado un directorio o ha alterado una pagina web SE BAJAN LOS PANTALONES
cuando se trata del poder yanki y todo lo mas seran capaces de hacer
alguna "condena" o "declaracion institucional" con la que los chicos
de Fort Meade se limpiaran cierta parte de su cuerpo."
Reconfortante ver como pasa el tiempo y nada cambia. :-( ]
CONCLUSION
----------
Si eres un pelagatos, ni se te ocurra estafar mediante algo que huela
a Internet. Entre las estafas incluye cualquier cosa que se acerque a
lineas 900, tarjetas de credito, uso indebido de lineas telefonicas
ajenas,...
Porque iran a por ti. Con cualquier excusa, cambio de milenio, necesidad
de ahogar otro escandalo, falta de espacio que rellenar en las paginas
del periodico,.... cualquiera ! es buena ! Y como eres un pelagatos,
no tendras dinero para pagar un abogado (ni bueno ni malo) y acabaras
con tus huesos en la carcel, con el culo un poco mas amplio que cuando
entrastes, te habras quedado sin trabajo, tus amigos te miraran por
encima del hombro (sobre todo los que considerabas fieles y confiables),
tu novia se habra ido con tu mejor amigo (que resulto serlo de ella),
los vecinos saldran del ascensor cuando entres (...esto tiene sus
ventajas) y un largo etcetera.
Que no me quieres hacer caso, ya que piensas que soy un agente de
Telefonica disfrado de hacker/pacotilla ?...pues escondete ! escondete
en la multitud.
Peque~as facturas telefonicas. Cambia de numero 900 a menudo. No digas a
nadie lo que haces. Cambia de conexion a Internet. Cambia y escondete.
Que esto es muy triste y solitario ? Pues lee el parrafo justo despues de
la palabra CONCLUSION. Si te quieren coger, te cogeran. No hay posibilidad
de que tu clave PGP sea inviolable. Si quieren cazarla, lo haran. Todavia
recuerdo como me costaba encontrar un password de seis caracteres hace
dos a~os con la mejor maquina de la epoca ! El otro dia hice la prueba y
tarde un par de horas. Yo, que tambien soy un pelagatos, he mejorado
enormemente mi capacidad de crackear una password por fuerta bruta.
Imagina lo que pueden haber hecho ellos, con los medios de que disponen.
Tu unica posibilidad ?
- Su avaricia
- Su estupidez
- Su pereza
Nunca iran tras de ti, si el costo de la busqueda es superior al da~o
que les causas.
Nunca iran tras de ti, si te escondes entre la multitud y la busqueda
es complicada.
Nunca iran tras de ti, si eres rapido con los cambios.
Pero,.... siempre hay excepciones a las mejores reglas universales
(vease PRIMER INPUT de este articulo) y cuando te cacen recuerda los
diversos articulos en SET que han aparecido sobre este tema.
A pesar del riesgo de que penseis que estoy haciendo publicidad
encubierta, os trasmito un ultimo consejo. Si os pasais por la web del
bufet de abogados Almeida (www.bufetalmeida.com), vereis al final de la
pagina una frase "se aconseja cifrar las consultas via e-mail"
Yo de vosotros seria prudente. Ya se que es un pe~azo a veces el tener
que cifrar los mensajes y tener que ir a cuestas con las llaves, pero
procurad ser un poco menos vagos que ellos y no se lo pongais facil.
Recordar que una de vuestras mejores armas es .... su pereza !
madfran
[ Daemon: En general sobre todo este tema de hacking satanizado, medios
buscando carnaza y sacando a gente que tira servidores y pasma buscando
medallitas y aparecer como tecno-edge state-of-the-art police ya hemos
escrito lo suficiente. A los lectores de SET nada de esta movida puede
pillarles de nuevo. Para eso lo machacamos en su momento :-). ]
*EOF*
