17:11 18/07/01
DIARIO DE UN 'CRACKER'
Mercè Molist
No le gusta que le llamen
hacker: "Sólo soy el tuerto en el país de los ciegos, una
persona con más inquietudes de lo normal, el alumno que cuestionaba
lo que decía el profesor". Pero, con 27 años, HVC tiene un
currículum de intrusiones a sistemas que quita el hipo y un impresionante
laboratorio casero, con seis ordenadores llamados Buitre, Halcón,
Cóndor o Águila. Su aventura es sorprendente, pero el camino
no difiere del de la mayoría de... hackers.
1983
Tuve mi primer ordenador,
un Commodore, a los 9 años. Más tarde compré un Spectrum
pero mi madre lo vendió, consideraba que pasaba demasiado tiempo
con él.
1994
Ingresé en La
Escuela Naval Militar, en Pontevedra. Teníamos una asignatura de
Informática patética y unas cuantas máquinas en red.
Mi única preocupación era intentar acceder a ellas. Pero
no encajaba en el ejército, así que comencé los estudios
de Mecánica de Aviones. Mientras mis compañeros se preocupaban
por entender cómo se arreglaba una avería, yo imaginaba situaciones
límite y sabotajes. Parecía sencillo.
1997
Acabados mis estudios,
fuí a Murcia y empecé Informática de Sistemas en la
UNED. Pedí una beca y me la denegaron, fue una de las mayores decepciones
de mi vida. No entendía que un trámite burocrático
me impidiera estudiar algo para lo que me sentía totalmente válido.
Y tomé la decisión de aprender solo. Si el estado no me ayudaba,
lo haría por mi cuenta.
Septiembre de 1998
La Universidad de Murcia
se convirtió en mi centro de pruebas particular. Había conseguido
un pase para las salas de ordenadores y me quedaba hasta que cerraban.
Un día, necesité instalar un programa, pero los encargados
no me dejaron, aludiendo que necesitaba privilegios de administrador. Ahí
empezó todo. Tras un mes de investigación y gracias a una
contraseña débil, pude hacerme con un sistema. Era la primera
vez que entraba de forma no autorizada a una máquina. La contraseña
me permitía acceso físico a cualquier ordenador de la universidad,
pero pronto deseé más: quería hacerlo remotamente.
Era como si algo me dijera: "Puedes hacerlo...demuéstrales que puedes...".
Noviembre de 1998
El objeto de mi deseo
era el PDC (Primary Domain Controller), el "ordenador central". Ahí
estaba la contraseña del administrador y el control absoluto sobre
más de mil ordenadores. Se me ponía la piel de gallina sólo
con pensarlo... Y les tendí una trampa: expliqué privadamente
al administrador que había conseguido acceso no autorizado y le
metí miedo. Cuando salí de la entrevista, corrí a
espiar la red. Si el plan había funcionado, se conectaría
al PDC para comprobarlo. Efectivamente, veinte minutos después,
capturé su contraseña. Ya era mío.
Diciembre de 1998
Durante más de
cuatro meses pude acceder a casi todos los ordenadores de la universidad.
Tenía una sensación de omnipotencia difícilmente explicable.
Leía el correo de la gente, podía apagarles el ordenador
remotamente.., llegué a hacerme con gran cantidad de información
(material de investigación, proyectos, exámenes, claves)
y desde allí accedí a otras universidades.
Primavera de 1999
Fui a Barcelona. Encontré
empleo como técnico de sistemas. Arreglaba ordenadores y pronto
estuve administrando sistemas. Tuve la oportunidad de conocer, desde dentro,
cómo estaban organizadas las redes de empresas. Pero mis jefes no
veían con buenos ojos mi afición a la seguridad, porque les
demostraba cómo podían saltarse las barreras que ellos instalaban.
Así que hacía una doble vida: de día era un humilde
técnico de sistemas, de noche investigaba y aplicaba lo aprendido
a un entorno real: Internet.
Mi cuarto pronto se convirtió
en un laboratorio de pruebas. Cuando aparecía una nueva vulnerabilidad,
la probaba en mis máquinas y, cuando dominaba la técnica,
la usaba para acceder a ordenadores. Ahora, mis objetivos eran la administración
pública y las grandes empresas. En unos meses, entré en cientos
de sistemas, sólo para comprobar su seguridad. De todos los entornos
que vi (un 90% en España), el menos cuidado era la administración
pública.
Otoño-Invierno
de 1999
Entro en la base de
datos de una gran constructora, con información sobre contratos,
beneficios y proyectos de clientes. También accedí a servidores
web de medios de comunicación y a los directorios de un importante
proveedor español, que alojaba más de mil páginas
web, entre ellas la de la Agencia de Protección de Datos. Mientras,
encontré un nuevo empleo en otra pequeña empresa de servicios
informáticos.
Enero del 2000
Me enviaron a una conocida
ONG, donde el rendimiento de la red había disminuido, y descubrí
algo extraño: un programa, instalado en varios ordenadores, que
estaba generando un ataque a toda la Intranet. Más tarde supe que
lo había instalado un ex-trabajador de mi empresa, con el ánimo
de vender una consultoría a la ONG: harían como que revisaban
algo durante unos días, desinstalarían las herramientas que
disminuían el rendimiento, todo volvería a la normalidad
y el cliente, contento.
Abril del 2000
Entro a trabajar en
una conocida consultora y, por fin, me veo como Técnico de Seguridad
Corporativa. Aprovecho para aprender sobre programas comerciales: si conoces
la última tecnología (empleada en banca, ISPs, etc), ya no
hay límites. Para mi sorpresa y desgracia de los clientes, comprobé
que las auditorías se asignaban a personajes que, lo que se dice
expertos en intrusiones y hacking, no eran. Mientras, por las noches, seguía
husmeando en sistemas, cada vez más gordos. Cuando accedo no suelo
notificarlo, porque la experiencia me dice que no sirve de nada. Si el
fallo era muy grande o el administrador dejaba el sistema abierto durante
meses, marcaba la página. Hacer el ridículo es la única
forma de reflexionar, a veces.
Octubre del 2000
Me topé con el
servidor web de una multinacional, donde estaban montando un sistema de
comercio electrónico y no se les había ocurrido otra cosa
que almacenar las claves privadas allí mismo. Había también
un informe detallado de toda la infraestructura que se montaría.
Les avisé marcando la página. Al día siguiente, la
mayoría de publicaciones electrónicas hablaban de ello pero,
un mes después, la web seguía siendo vulnerable.
Noviembre del 2000
Buscaba información
personal de mucha gente y se me ocurrió mirar en las empresas de
trabajo temporal. Di con una que decía: "Tenemos una de las bases
de datos más importantes de Internet". Hummm... Conseguí
entrar en la máquina, donde descubrí una base de datos de
más de 70.000 currículums, con todo tipo de información.
La página principal de su web decía algo sobre confidencialidad
y la Ley Orgánica Reguladora del Tratamiento Automatizado de Datos
(LORTAD). Que se lo digan a estas 70.000 personas.
Diciembre del 2000
Hacía tiempo
que tenía ganas de probar suerte con los bancos así que,
una noche, busqué algunos no españoles, para hacer pruebas.
Accedí a dos, mientras miraba "Crónicas Marcianas". Uno de
Senegal y otro de Hawai, abierto de par en par, con los datos de más
de dos mil personas que realizaban transacciones a través de su
web. Increible.
Enero del 2001
Una de las cinco empresas
informáticas con más facturación tenía un agujero
en el servidor web. Les modifiqué la página y esperé.
Días después, habían arreglado el cortafuegos, pero
no el servidor vulnerable. Me lo tomé como un reto. Invité
a un amigo una noche y pensamos cómo saltarnos el cortafuegos para
llegar al servidor. Fue la noche más emocionante de mi vida. Descubrimos
que aceptaba "cookies" (pequeños ficheros de texto) y, ¡bingo!,
forzamos al servidor a coger una, creada expresamente, que hizo aparecer
en la web: "<intruso> 2 <empresa> 0". Técnicamente, fue muy
interesante. Pero jamás apareció en los medios. Las empresas
callan. Por eso, los 'hackeos' más divertidos se hacen el fin de
semana, cuando sabes que ningún administrador sabrá solucionar
el problema desde casa y la página quedará marcada hasta
el lunes.
Primavera del 2001
Mientras trabajaba en
la consultora, fui haciéndome una idea de los errores típicos
de sitios importantes. Una vez, instalaba un producto en un banco cuando
vi que el cortafuegos tenía graves agujeros. Se lo comuniqué
al encargado y sólo conseguí una bronca brutal. A veces,
encuentras ordenadores fácilmente accesibles en lugares de alta
tecnología o militares, donde se supone que deberían tomárselo
en serio. Igualmente, puede pensarse que entrar en los sistemas de un banco
es difícil. Nada más falso. El problema es moverte por dentro,
pero no entrar. Hoy en día hay métodos que funcionan en el
90% de los sitios.
Verano del 2001
Hace menos de tres meses,
dejé la consultora. No estaba de acuerdo con su forma de actuar
y me parecía una estafa. El mercado se está llenando de 'expertos'
salidos de la nada, con estupendos trajes y mediocres conocimientos de
seguridad telemática. ¿Qué experiencia real en técnicas
de intrusión tienen estos personajes? Normalmente ninguna. Se necesita
un ladrón para coger a otro ladrón y, eso, no lo enseña
ningún catedrático.