Glosario: Pwned

La jerga hacker tiene términos que son más importantes que otros, particularmente los que tienen que ver con el espíritu competitivo y humorístico del gremio. Pwned, es indudablemente el pilar de la comedia hacker:

pwned-facekick

 

Pwned es una corrupción de la palabra “owned”, la cual significa algo así como dominación. Por ejemplo, cuando le ganas al equipo contrario en Call of Duty puedes decir “Los owneamos, n00bs”. Un error de tecleo de los programadores del popular mmorpg World of Warcraft en el cual escribieron Pwned en lugar de Owned dio origen al término corrupto pero cientos de veces más hilarante.

También puede ser escrito como ownt, pwnt, pwnd, pwn’d pwn3d, poned o powned.

Los hackers aplican el término para referirse a los resultados de sus actos, es así como una víctima de un hackeo fue “pwneada, lol” y en el caso de los gamers (como ya expliqué más arriba) el énfasis de las derrotas se hace con el “pwnage”.

Anuncios

La historia de Kevin Mitnick

Mitnick_Color2

Este Cazafantasmas tuvo la oportunidad de conocer al famoso Kevin Mitnick durante su visita a Colombia en el marco del Campus Party edición 2009. En se entonces, Mitnick impartió una conferencia acerca de seguridad informática, enfocándose particularmente en los novedosos (por ese entonces)  Smart Phones y cómo estos se convertirían en uno de los principales blancos de los piratas informáticos del futuro. Para demostrarlo, hackeó “en vivo” un teléfono motorola perteneciente a un asistente del evento a través del enlace Bluetooth abierto que el usuario había dejado abierto por error, revelando así sus archivos personales. Realmente inspirador, desde un punto de vista tecnológico.

¿Quién es Mitnick? Kevin David Mitnick es el padre de todos los hackers, o eso parece de acuerdo a la cultura popular. El “pirata informático más famoso del mundo”, según el Libro Guinness de los Records. También es el hacker más escurridizo, ya que ha estado huyendo, en prisión o en tratamiento por “adicción al ordenador” desde que tenía 17 años. Y, según el FBI, es el más peligroso. Mitnick ha sido el único criminal informático que ha figurado en un cartel de “Se busca” de los 10 hombres más peligrosos según el FBI , y pasó ocho meses en una celda de aislamiento porque las autoridades creían que podía arruinar electrónicamente la vida de cualquier persona con la que hablara con sólo conocer un par de datos sobre ella.

Más que un hacker, Mitnick es un ingeniero social: conoce las debilidades inherentes del ser humano y las usa a su favor. Se basta en los siguientes principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Con estos simples principios, Mitnick relató en el 2009 en Bogotá,  el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas y en unos escasos minutos.

La carrera de Kevin Mitnick comenzó a los 16 años, cuando obsesionado por las redes de ordenadores rompió la seguridad del sistema administrativo de su colegio, pero no para alterar sus notas; lo hizo “solo para mirar”. Su bautismo como infractor de la ley fue en 1981. Junto a dos amigos, entró físicamente a las oficinas de COSMOS, de Pacific Bell. COSMOS (Computer System for Mainframe Operations) era una base de datos utilizada por la mayor parte de las compañías telefónicas norteamericanas para controlar el registro de llamadas. Una vez dentro de las oficinas obtuvieron la lista de claves de seguridad, la combinación de las puertas de acceso de varias sucursales y manuales del sistema COSMOS. La información robada tenía un valor equivalente a los 200.000 dólares. En 1987, luego de tratar de poner su vida en orden, cayó ante la tentación y fue acusado, en Santa Cruz California, de invadir el sistema de la compañía Microcorp Systems. Lo sentenciaron a tres años de libertad condicional y tras la sentencia su expediente desapareció de la computadora de la policía local.

Posteriormente buscó trabajo en lo que mejor sabía hacer y solicitó empleo en el Security Pacific Bank como encargado de la seguridad de la red del banco. El banco lo rechazó por sus antecedentes penales y Mitnick falsificó un balance general del banco donde se mostraban pérdidas por 400 millones de dólares y trató de enviarlo por la red (like a boss). Ese mismo año inició el escándalo que lo lanzó a la fama. Durante meses observó secretamente el correo electrónico de los miembros del departamento de seguridad de MCI Communications y Digital Equipment Corporation para conocer cómo estaban protegidas las computadoras y el sistema telefónico de ambas compañías; luego de recoger suficiente información se apoderó de 16 códigos de seguridad de MCI y, junto a un amigo, Lenny DiCicco, entraron a la red del laboratorio de investigaciones de Digital Corporation, conocida como Easynet. Ambos crackers querían obtener una copia del prototipo del nuevo sistema operativo de seguridad de Digital, llamado VMS. El personal de seguridad de Digital se dio cuenta inmediatamente del ataque y dieron aviso al FBI, y comenzaron a rastrear a los crackers. Mitnick fue arrestado en 1988 por invadir el sistema de Digital Equipment. La empresa acusó a Mitnick y a DiCicco ante un juez federal de causarles daños por 4 millones de dólares en el robo de su sistema operativo. Fue declarado culpable de un cargo de fraude en computadoras y de uno por posesión ilegal de códigos de acceso de larga distancia.

Adicional a la sentencia, el fiscal obtuvo una orden de la Corte que prohibía a Mitnick el uso del teléfono en la prisión alegando que el prisionero podría obtener acceso a las computadoras a través de cualquier teléfono. A petición de Mitnick, el juez lo autorizó a llamar únicamente a su abogado, a su esposa, a su madre y a su abuela, y solo bajo supervisión de un oficial de la prisión.

Hoy en día, todo esto forma parte de su pasado, ya que se dedica a ser consultor de seguridad, con muy buenos resultados. Es la clásica historia del hacker reformado, quien utiliza sus conocimiento para hacer el bien, y sacar unos cuantos miles de dólares en el proceso.

5678862485_b7f8101677_o

Glosario: Trolls de patentes

efftrollpick

Seguramente has leído o escuchado acerca de los infames trolls de patentes o copyright trolls. ¿Qué son exactamente? entidades que imponen sus patentes contra uno o más supuestos infractores de una forma excesivamente agresiva u oportunista, a menudo sin la intención de fabricar o comercializar el producto objeto de la patente. El objetivo original era proteger a los inventores a través de las patentes, hoy en día, se han convertido en una herramienta de extorsión, cuya meta es lo opuesto a proteger la innovación, particularmente en el campo del software.

Por si fuera poco, las patentes que poseen no las usan para la producción o comercialización del objeto patente, ni tampoco como base para labores de investigación. Simplemente las adquieren para sacar un beneficio económico de aquellas entidades que las utilizan sin licencia o las quieran utilizar. En pocas palabras, ni presta el hacha ni pica la leña, y por si fuera poco te demanda cuando intentas crear tu propia hacha.

trollcaseGráfica de crecimiento de las demandas por patentes en los Estados Unidos.

Un modelo deshonesto desde cualquier punto de vista, sin embargo es sorprendentemente efectivo. Pueden operar bajo los siguientes métodos:

  • Compran una patente, a menudo de una empresa en quiebra para demandar a otra empresa, alegando que uno de sus productos infringe la patente comprada.
  • Ejercitan acciones de protección de sus patentes contra supuestos infractores sin que éstos realmente pretendan fabricar el producto patentado o proveer el servicio patentado.
  • Ejercitan acciones de protección de sus patentes sin realizar actividades de investigación o de fabricación en relación a éstas.
  • Dedica sus esfuerzos exclusivamente al ejercicio de derechos sobre patentes.

Conclusión: las formas de truncar la innovación cada día son más creativas y efectivas.

Tipos de Hacker: Black Hat Hacker

La semana pasada ya hablamos de los White Hat Hackers, quienes vienen siendo los “chicos buenos de Internet”. En esta ocasión sin embargo, vamos a abordar la otra cara de la moneda: los Black Hat Hackers, los chicos malos de la red, los que sencillamente quieren ver al mundo arder.

The Dark Knight

¿Alguna vez viste The Dark Knight? ¿recuerdas al maniático, errático, impredecible, talentoso y supremamente inteligente Joker? Pues un Black Hacker es más o menos así, sólo que en lugar de poner bombas y matar gente con un maquillaje excéntrico, destruye sitios web y vulnera lo invulnerable en Internet.

Las motivaciones de un hacker pueden ser de orden Político (Anonymous) económico (Barnaby Jack) y 4thelulz, o por “las risas” (lulzSec) sólo por nombrar algunas, ya que en realidad pueden justificar sus objetivos con cualquier excusa imaginable, basta con estar medianamente aburridos y tener un poco de conocimiento entre manos para crear un desastre.

¿Y a qué se dedica un Black Hat? pues a detectar debilidades en toda clase de sistemas para explotarlas: Páginas web institucionales, bancos, cajeros automáticos, teléfonos, servidores, casi cualquier tipo de tecnología es susceptible a su destreza, la cual utiliza para arruinarle el día a otros. Aquí vemos por ejemplo al mítico hacker Barnaby Jack hackeando un cajero automático de forma remota:

Hackeando señales de tránsito:

Españoles hackeando webs institucionales

Y etc. Aún cuando estos ejemplos son “inofensivos”, son un claro testimonio de lo vulnerables que son los sistemas y redes en todo el mundo, alguien con un poco de mala leche podría aprovechar estas debilidades para mal.

En este blog aprenderás a identificar, y defenderte (dentro de lo posible) de estos ataques.

Tipos de Hacker: El White Hat

Black Hat, White Hat. Tipos de Hacker

Hacker. La palabra en sí misma ya despierta desconfianza, en gran parte gracias a la atención mediática negativa que ha recibido el término durante los últimos años. Sin embargo, no todos los hackers informáticos son “malos”.

En los rincones de Internet existe un selecto grupo de héroes cuya altruista misión es hackear por el bien común, detectando puntos débiles en redes y sitios web, alertando acerca de posibles puntos de ataque, fortaleciendo a Internet a su paso: son los white hat hackers, o hackers de sombrero blanco.

Para entender mejor este concepto, podemos acudir a una analogía: tenemos a un cerrajero profesional que va de casa en casa intentando desbloquear cerraduras en casas al azar sin autorización alguna. Si logra desbloquear una cerradura, en lugar de entrar a la casa a causar estragos, deja una tarjeta de presentación en esa casa en la cual pone :

Hola señora o señor, su cerradura no es la adecuada, tiene que tomar estas medidas o un ladrón entrará a su casa algún día y le robará todo. Cordialmente, su cerrajero white hat.

Un white hat hacker realiza la misma tarea de nuestro cerrajero imaginario, pero aplicado al amplio espectro de la informática: sitios web, servidores, redes, aplicaciones. Si funciona a  partir de código ellos intentarán vulnerar su seguridad y notificar al administrador del sistema para que corrijan la falla.

A pesar de que la naturaleza de estos hackers es altruista, por lo general las grandes multinacionales y corporaciones mantienen un equipo de hackers white hat en su nómina para poner a prueba de forma regular la seguridad de su infraestructura.

Estos hackers suelen ser hackers black hat reformados, tal como es el caso del célebre Kevin Mitnick.

Al final del día, la labor de estos individuos es realizar evaluciones de seguridad a través de métodos como ingeniería social, ataques DoS y exploits, entre otros. Utilizan sus habilidades para construir, no para destruir.

Todos deberíamos tomar ejemplo de esto.