Volver al Indice – Internet y Tutoriales de Diseño Web
Por Alejandro Franco – contáctenos
Decidimos entrar en el terreno underground de los hackers. Si tratamos de internet, es ineludible tocar el tema. Existe una nueva generación que no sólo es fanática de la computación; también toma posiciones al respecto y participa activamente. y ellos son los hackers.
Qué es un hacker?
Hack en inglés significa asalto. Los hackers son, pues, aquellos que “toman por asalto” un sitio, generalmente un sitio web, aunque también incurren en asaltar sistemas protegidos no necesariamente accesibles desde la web (como por ejemplo, el sistema informático de un banco).
Son personas dañinas?. No necesariamente. Tienen sus códigos de ética, y conocen al dedillo los alcances legales de sus acciones. Sin embargo, el uso habitual confunde a hackers con maleantes de la informática, criminales que siembran destruccion en datos, envían virus o sabotean y copian software. Si bien se mueven en las sombras y sus actividades rozan el filo de lo legal, veremos que los verdaderos hackers no son los terroristas informáticos que todo el mundo piensa.
Perfil de los hackers
Básicamente los hackers son fans de la computación que desde temprana edad (8, 10 años) se vuelcan activamente al estudio tanto de comunicaciones (internet) como de lenguajes y sistemas operativos, especialmente linux. Para su operatoria precisan saber como funciona la web; para realizar los “asaltos”, lo hacen desde terminales linux que les proveen acceder o trabajar sobre la máquina o sitio a hackear desde la barra de comandos o simbolo del sistema (como si fuera la pantalla negra de D.O.S.). Al operar comandos y no programas, trabajan sobre el sistema operativo mismo de la pc objetivo; y pueden ayudarse con programas hechos en C o Pascal, rutinas que tantean fallas de seguridad o puertas accesibles para el ingreso.
El hacker en si no es dañino; vimos que su perfil es de una persona precoz e intelectualmente superior a los de su generacion, autodidacta, cuyo fin máximo es este: DEMOSTRAR SU SUPERIORIDAD FRENTE A LOS SISTEMAS SUPUESTAMENTE SEGUROS. Es decir, lo suyo es tomar un área o sistema supuestamente impenetrable y encontrar la forma de penetrarlo. Una vez que lo hace, se retira; no comete vandalismo (destruccion de datos) o actos de sabotaje. Por supuesto existen aquellos que toman su conocimiento en pos de algún lucro o destruyendo por el hecho de demostrar su superioridad; pero creanme que existe un codigo de ética realmente estricto entre ellos.
He tenido oportunidad de observarlos, de ver sus comentarios, de conocer como operan. Existen portales under como astalavista.com que proveen informacion y hasta tutoriales sobre hackeo. También encontrará algunos utilitarios supuestamente ilegales como avalanche, un cliente de mail que lanza millones de mensajes a un único destinatario. Obviamente son todos, “travesuras” de los chicos, muestras de su capacidad tecnica superior, pero no utilitarios que usen. Los hackers reales son los primeros en contra de practicas tales como SPAM o correo basura.
También he visitado (y de hecho, soy asociado) a foros de hackers. Por supuesto, existen los grandes maestros, aquellos que han penetrado sistemas tales como la NASA o el FBI. Pero en general, los hackers prefieren experimentar y ensayar con objetivos más modestos y abundantes, como suelen ser los sitios de adultos. y esto le puede resultar particularmente interesante a usted, webmaster, para descubrir que resulta realmente muy difícil tener un sitio web realmente seguro en internet; sea de adultos, sea un shopping de e-commerce (compra en línea con tarjetas), sea un foro reservado para socios… si un hacker lo desea, puede penetrar hasta los métodos supuestamente más infalibles de seguridad para un sitio de internet.
Metodos de acceso : los backdoors
El primer modo de intentar acceder a un sitio web seguro (digamos, un sitio que pide clave y contraseña) es buscar un backdoor o puerta trasera. Supongamos un sitio adulto; usted llega a la pagina www.adultoxxx.com (nombre ficticio), y quiere acceder a el. Generalmente hay una pagina que chequea su user y password (nombre de usuario y clave), generalmente con normas SSL de seguridad. Esta pagina puede ser www.adultoxxx.com/members.shtml . Una vez ingresado los datos correctos, psa a ver el contenido del site, por ejemplo, www.adultoxxx.com/fotos1.html. Pero que pasaría si un usuario supiera dicha direccion de antemano?. Si escribiera www.adultoxxx.com/fotos1.html de entrada?. Puede pasar que la página nos redirija a la página del login pidiendo user y password, o nos deje ver directamente el contenido.
Si el metodo falla, puede probar con www.adultoxxx.com/fotos2.html. E ir cambiando el numero de documento html. Lo que hace es ir tanteando las direcciones que hay despues de pasar la barrera del login, hasta encontrar una que no le pida clave y usuario. Alli habra encontrado un backdoor.
Encontrarlo es un trabajo dificil y largo; un programa diseñado para probar las terminaciones posibles (o el nombre de las paginas internas) del sitio es una posibilidad. La otra es haber visto por una vez el contenido y ya saber de antemano como se llaman las paginas para tantearlas desde afuera del site. y si se encuentra un backdoor, tenemos una posibilidad real de continuar navegando como si fueramos un usuario registrado.
Metodos de acceso : la fuerza bruta o prueba de logins
El otro metodo es directamente probar con claves. Generalmente (en el caso de los sitios adultos), varios sites pertenecen a una misma empresa, y la clave de un sitio funciona para el resto, quizas porque el usuario real poseedor de dicho user y pass le gusta el contenido, o porque la seguridad del conjunto de paginas webs es muy pobre. Además, se apela a la falta de imaginacion de los usuarios: cuantos sitios hay en el que el usuario se llama test, asi como la clave? O Bill y Clinton? O Compaq y Presario?. Muchos sitios poseen una base de nombres de usuario y claves que no pueden ser usadas por ser demasiado evidentes, como abcd , qwerty , 123456. Tambien en estos casos se utiliza un software que simula un usuario en linea y prueba cientos de combinaciones de letras y numeros, o de claves y nombres potables que son habituales de ser utilizados.
Metodos de acceso : acceder a la base de claves
Mientras que los anteriores son metodos en realidad bastante caseros, el acceder a la base real – el archivo de claves – es algo mucho más cientifico.
Todo sitio web se compone en realidad de varios directorios; el de contenido que se muestra cuando escribe la URL de un site. y otros que contienen programas y utilidades accesorias, que solo cuando el owner accede mediante FTP puede ver, como es los directorios WEBMAIL, CGI-BIN, etc. Si se trabaja desde la linea de comandos, puede intentarse explorar el contenido de los mismos, descargarlo y analizarlo.
Metodos de acceso : el spoofing
Debo admitir que tuve oportunidad de probarlo y me gustó. Sin entender en profundidad la base del mecanismo, uno se siente un intruso en penumbras, penetrando a sitios prohibidos.
El spoofing se basa en un navegador o browser modificado. A diferencia de cualquier browser, tiene dos cuadros para direcciones URL. y el fundamento es este:
Como comentamos antes, existen muchos web sites que en realidad pertenecen a una misma empresa. y muchas veces el ser socio de uno permite el acceso a otros sites de la misma empresa. El spoof lo que hace es engañar a la seguridad del sitio; en el primer cuadro se indica la URL desde la cual yo vendría (www.adultoxxx.com/member.shtml) y cuál sería la URL a la cual debería dirigirme (www.adultoxxx.com/fotos1.html), que se carga en el segundo cuadro. Básicamente el engaño consiste en falsear la direccion que me refiere a la nueva que deseo visitar; si soy socio pasé por la pagina de login y desde ella, me dirijo a otra. Como si instantáneamente hubiese sido teletransportado al interior del sitio, como un navegante que hacia tiempo venia leyendo paginas. La URL referente puede ser del mismo sitio o de otro cualquiera que, por claves o pertenece al mismo circuito de seguridad o a la misma empresa que los confeccionó; no soy un navegante que recién encendio su pc y prueba escribiendo por primera vez dicha direccion, sino que le indica que ya venia navegando y que provengo de una direccion desde donde se validó la seguridad.
Generalmente este tipo de accesos se hace por una cuestion de demostración y curiosidad. Los hackers entienden que pueden ser rastreados en caso de provocar algún tipo de sabotaje. Con el tiempo iremos explicando algunos detalles más de su técnica, especialmente porque tenemos en nuestro poder un manual para iniciarse en las tecnicas del hacking. Pero lo que fundamentalmente nos demuestra que no existe nada, creado por la mano del hombre, que sea lo suficientemente seguro ni que la mano de otro hombre pueda desentrañar.