En las películas, la palabra “hacker” puede ser intercambiada por “hechicero”. Los guionistas nos hacen creer que cualquier persona que utilice palabras como “nodos” o “encriptar”, puede simplemente tomar un teclado entre sus manos y convertirse en un ser con poderes divinos capaz de modificar la faz de la Tierra a su antojo. Estos descarados escritores de Hollywood saben de antemano que la persona promedio no sabe mucho sobre computadoras, entonces, un individuo que sea capaz de hackear es tratado como una criatura mítica. Bueno, esta es una de esa ocasiones en que la idea que Hollywood tiene acerca de algo escapa completamente de la realidad.
El autor original de este texto es Caleb Brinkman, quien es un hacker de sombrero blanco, lo que significa que sólo ataca sitios web para hacerles notar sus debilidades y de esa manera hacerlos más seguros. Continúen leyendo y sabrán por qué todo lo que han visto en las películas acerca de los hackers está ridículamente equivocado.
5. Mito: Eres capaz de hackear cualquier computadora central (mainframe) desde internet
Si escuchas las palabras “hackear la …” en una película, la siguiente palabra es casi con seguridad “mainframe”. Es tan común que podríamos considerarlo un cliché.
link: https://www.youtube.com/watch?v=Hcywf9mwF5U
Tendemos a imaginar a un sitio web como la fachada de una enorme pila de secretos. Hackea profundamente la página web de la CIA y podrás llegar a la computadora central. Ahí encontrarás todos los registros de sus agentes encubiertos y los planos para construir tu propio reloj de pulsera con láser. Cuando comencé a introducirme en el mundo del hacking, pensé durante algún tiempo que mi vida sería buscar e introducirme en mainframes, utilizar encriptadores e introducirme en un sinnúmero de sistemas.
Pero la idea de que puedas introducirte en sistemas importantes a través de una página web, es simplemente, falsa. Podrías llegar a robar los passwords de las bases de datos que se encuentran dentro de un sitio web, pero los archivos importantes y/o confidenciales, no están almacenados en ninguna base de datos a la que el público pueda acceder, porque, ustedes saben, sería increíblemente estúpido. No encontrarán los códigos secretos para el lanzamiento de misiles nucleares, en ningún lugar que esté vinculado al sitio Defense.gov.
Los sitios web son menos como fachadas y más como panfletos publicitarios pegados a postes de electricidad. Puedes rayar todo lo que quieras sobre la imagen de ese restaurante que odias, pero de ninguna manera lograrás robarles un sólo filete. Sucede lo mismo cuando un hacker super-villano de película logra introducirse en la red de una planta de energía: Necesitas saber muchos secretos internos para tener alguna esperanza de llegar tan lejos. Incluso la palabra “mainframe” es un anacronismo, ya que al día de hoy han sido casi completamente reemplazadas con algo llamado server farms.
Tomemos como ejemplo a Edward Snowden, el chico que logró robar muchos secretos importantes sobre el programa espía de la NSA. Snowden no robó toda esa información hackeando el sitio web de la NSA. Obtuvo todo desde dentro, gracias a que él trabajaba ahí como un administrador de sistemas de alto perfil. Hay muy poco que hackear cuando se te otorga la llave del reino.
4. Mito: Hackear es ilegal
Obviamente existen personas que hackean en nombre del mal — sin ellos no tendría trabajo. Yo trabajo como un hacker de “sombrero blanco” me pagan específicamente para detener a esa clase de personas. Pero muchos de los hackers que conozco dedican su tiempo y conocimientos a la investigación. Analizamos código fuente para encontrar algún fallo en él. Pueden llamarlo bandalismo preventivo — las empresas nos pagan para que penetremos en sus sistemas, para después explicarles como lo hicimos.
El otro lado del hacker de sombrero blanco es un tanto más mercenario: encontrar bugs (fallos) en sitios web y cobrar la recompensa. Es como realizar misiones en un MMORPG, sólo que las recompensas son en dinero en efectivo. Facebook para mínimo $500 dólares por alguna clase de evidencia sobre un fallo. Google puede pagarte hasta $20,000 si logras encontrar un fallo verdaderamente serio. Han pagado más de $2 millones de dólares en los últimos 3 años, porque el hecho de ser el buscador más utilizado del planeta te convierte en una piñata de dinero rellena de deliciosas vulnerabilidades.
Así es — los verdaderos hackers pasan la mayoría de su tiempo tratando de romper los sistemas de sitios de alto perfil. Y definitivamente no lo están haciendo porque son unos rebeldes anarquistas que luchan contra el Poder (no todos al menos), lo hacen para ayudar a que esos sitios sean más seguros, y claro por cada bug que descubren les espera una linda y sexy pila de dinero.
Existe incluso un sitio en donde se reúnen todas estas recompensas: Bugcrowd
Así que el hacking puede ser un trabajo verdadero cuando se trata de algo legítimo (y el negocio de los hackers de sombrero blanco es un gran negocio). Esto también derrumba por completo otro estereotipo que se maneja en las películas: que todos los hackers son tipos excéntricos y desconectados de la sociedad que viven y se alimentan del internet refugiados en sótanos oscuros. Aquí tenemos al hacker “Warlock” de la cuarta película Die Hard, en un “típico” sótano hacker.
Bueno, nuestro equipo trabaja en una oficina típica, y la mayoría de la gente aquí está casada. Y con esto no quiero decir que somos un grupo de hackers que rompe con todos los parámetros que creías correctos, los hackers asistimos a eventos donde los mejores y más brillantes se emborrachan e intercambian tarjetas de presentación. Black Hat y Def Con son esa clase de eventos, ambos repletos de todo tipo personas, incluso algunas usan traje (aunque las playeras son más comunes). Un conferencista en este evento era nada más y nada menos que el director de la NSA, y para que juzguen por ustedes mismos, el grupo de personas que escuchó su conferencia lucía así:
Si has pasado algún tiempo en la industria de la tecnología, reconocerás esto como un grupo bastante normal. Si, uno de ellos tenía un sombrero de ala, y créanme no se quedó con ganas de llevarlo de nuevo.
3. Mito: Hackear requiere de toda clase de software exótico
Así se ve la pantalla de un hacker en Hollywood:
o tal vez así:
Naturalmente Hollywood necesita endulzar un poco las cosas para brindarles algo interesante a la audiencia — y pasa lo mismo con casi todo, desde accidentes de autos a la arqueología. Pero todo esto causa la impresión de que para hackear necesitas que tu pantalla parezca lo más villana/divertida/extraterrestre posible. Bueno, aquí tienen una imagen de una VERDADERA herramienta hacker en acción:
Como lo habrán notado, existe una evidente ausencia de calaveras. Y bueno, si creen que se trata algo que podrían ejecutar directamente en su navegador… están en lo correcto. Una de las formas de hacking más común en estos días se llama Web application hacking. Que es básicamente buscar vulnerabilidades en distintos sitios web. Los hackers de sombrero blanco hacen esto como parte de su trabajo, los de sombrero negro hacen esto porque son idiotas.
Así que, si algún día pasas por nuestra oficina, parecerá que simplemente estamos navegando por la web. Las ventanas negras con texto verde brillante interminable se ven geniales, pero el cerebro humano trabaja mejor con algo más sobrio, como esto:
De hecho, buena parte de mi trabajo consiste en recargar páginas web una y otra vez — es una de las maneras en las que intentas romper los filtros de seguridad de un sitio. Intentas probar varias vulnerabilidades y recargas la página docenas de veces hasta que consigues encontrar un fallo.
Pero aunque no se vea tan exótico como en las películas, no significa necesariamente que puedan hacerlo con cualquier tipo de computadora. Aunque resulte extraño, las mismas películas que sugieren que para hackear necesitas alguna clase de interface futurística y llena de colores, también muestran que los hackers pueden hacer todo este tipo de cosas desde la comodidad de una laptop. Si quieres ser un hacker super-villano no puedes vivir atado a una computadora de escritorio, si claaaro…
Pero la mayoría del hacking es fuerza bruta: tratar cientos y cientos de cosas diferentes hasta que algo se rompe. Y para lograr todo eso necesitas… Poder.
Bien, es posible que consigas arreglártelas con una laptop durante algún tiempo… Pero cuando hablas de realizar verdadero trabajo pesado, necesitarás hacer uso de todos los recursos a tu alcance para ser capaz de realizar cientos de pruebas a diferentes sitios, manejando diferentes parámetros, todo esto al mismo tiempo. Y eso podría ser demasiado para el procesador de tu pequeña laptop (literalmente — Tengo una laptop a la cual considero potente, y cuando necesito realizar pruebas con más de 2 parámetros al mismo tiempo, necesito medios externos para enfriarla). Esa es la razón por la cual la mayoría de los hackers serios que conozco realizar el trabajo pesado en potentes computadoras de escritorio. Aunque normalmente éstas no tienen 7 monitores conectados a la vez como en la película Swordfish :
Y hablando de chicos que hackean maravillosamente mientras tienen un arma apuntando a su cabeza …
2. Mito: Para hackear necesitas reflejos relámpago
Muchas películas muestran a hackers escribiendo con furia sobre sus teclados, los comandos vuelan por la pantalla, demasiado rápidos para verse claramente — hackear en las películas es rápido, requiere reflejos y velocidad sobrehumana. Tiene sentido: Tienes que evadir la seguridad y a otros hackers — es el equivalente de una batalla con pistolas, granadas y explosiones, pero en la computadora. En el clásico duelo de hackers, el atacante dispara comandos y virus hacia el sistema, mientras que el grupo que defiende, se apresura a tratar de contrarrestar el ataque en tiempo real, tratando al mismo tiempo de localizar al hacker mientras continúa con su despiadado ataque de bombas lógicas, troyanos y comando aun más complejos.
En el mundo real, la mayoría de las herramientas hackers funcionan a dispara-y-olvida. Si quieres irrumpir en un sitio o en una dirección de IP en específico, simplemente eliges la herramienta adecuada, “apuntas”, y presionas ‘OK’. Después te alejas de la computadora por un rato hasta que la herramienta termina de hacer su trabajo. Gran parte del hacking consiste básicamente en oprimir el botón ‘Iniciar’ e ir a buscar un café.
Con esto no queremos hacer ver al hacking como algo que no requiere esfuerzo — esas herramientas funcionan sólo en ciertas ocasiones, y el resto del tiempo, no hacen absolutamente nada. Pero logran mostrarte donde están los problemas. Tal vez pase una hora antes de que la herramienta encuentre algún punto débil, para después pasar 15 minutos pensando en cómo aprovechar ese fallo y lograr romper la seguridad.
Y si todo esto suena a que incluso para hackear de manera profesional no se requiere ser un experto, bueno, vayamos al mito más grande de todos…
1. Mito: Se necesita ser un experto
Existe una razón por la cual los hackers parecen vivir en madrigueras informáticas: Son el tipo de personas que gastan cada segundo de su vida tratando de ser mejores hackers. Son monjes guerreros, pero con más Cheetos y Star Wars.
La realidad es que cuando vamos a una de esas ferias de empleo en las universidades, con frecuencia contratamos a personas que no tienen experiencia con computadoras. No se requieren tantos años de estudio o dedicación — podemos hacer que alguien vaya desde cero a hacker en seis meses. Hackear la seguridad de sitios web — a lo que me dedico — es en realidad un campo sencillo en el cual puedes ingresar. No necesitas años de preparación para comenzar a romper la seguridad de sitios web.
Cuando comienzas a trabajar con nosotros, asumimos que no tienes conocimientos sobre como funciona Internet, así que comenzamos por explicar como responden los sitios web a las peticiones y procedemos a buscar vulnerabilidades. No se necesitas años de obsesión para formar a un hacker promedio. Se trata de un oficio, como soldador o barman. Y por supuesto, el mundo tiene verdaderos artistas en el manejo de los metales así como maestros mezcladores de bebidas, y las personas que se ganan la vida uniendo piezas de metal y sirviendo tragos en un bar, mantienen las cosas funcionando en sus respectivas áreas de trabajo.
La verdad es que, existen solamente alrededor de 50 tipos diferentes de amenazas reconocidas por la Web Application Security Consortium, y cada uno de los trabajadores que laboran en nuestra compañía sólo necesitan saber identificar un puñado de ellas. Tal vez te tome una semana o dos aprender los conceptos más elementales del hacking, y casi desde el primer día estás practicando con aplicaciones web reales. HackThisSite.org puede ayudarte con lo básico y probablemente comiences a hackear en cuestión de semanas.
Aprender y buscar vulnerabilidades es la parte sencilla del hacking (este curso de hacking ético asegura tener un 90 por ciento de probabilidades de éxito). La parte difícil comienza cuando decides explotar tales vulnerabilidades. Pero hay más dinero (y menos arrestos) al resistirte a reemplazar la portada del sitio de la Casa Blanca con tu imagen de mi-trasero.jpg.
El autor original de este texto es Caleb Brinkman, quien es un hacker de sombrero blanco, lo que significa que sólo ataca sitios web para hacerles notar sus debilidades y de esa manera hacerlos más seguros. Continúen leyendo y sabrán por qué todo lo que han visto en las películas acerca de los hackers está ridículamente equivocado.
5. Mito: Eres capaz de hackear cualquier computadora central (mainframe) desde internet
Si escuchas las palabras “hackear la …” en una película, la siguiente palabra es casi con seguridad “mainframe”. Es tan común que podríamos considerarlo un cliché.
link: https://www.youtube.com/watch?v=Hcywf9mwF5U
Tendemos a imaginar a un sitio web como la fachada de una enorme pila de secretos. Hackea profundamente la página web de la CIA y podrás llegar a la computadora central. Ahí encontrarás todos los registros de sus agentes encubiertos y los planos para construir tu propio reloj de pulsera con láser. Cuando comencé a introducirme en el mundo del hacking, pensé durante algún tiempo que mi vida sería buscar e introducirme en mainframes, utilizar encriptadores e introducirme en un sinnúmero de sistemas.
Pero la idea de que puedas introducirte en sistemas importantes a través de una página web, es simplemente, falsa. Podrías llegar a robar los passwords de las bases de datos que se encuentran dentro de un sitio web, pero los archivos importantes y/o confidenciales, no están almacenados en ninguna base de datos a la que el público pueda acceder, porque, ustedes saben, sería increíblemente estúpido. No encontrarán los códigos secretos para el lanzamiento de misiles nucleares, en ningún lugar que esté vinculado al sitio Defense.gov.
Los sitios web son menos como fachadas y más como panfletos publicitarios pegados a postes de electricidad. Puedes rayar todo lo que quieras sobre la imagen de ese restaurante que odias, pero de ninguna manera lograrás robarles un sólo filete. Sucede lo mismo cuando un hacker super-villano de película logra introducirse en la red de una planta de energía: Necesitas saber muchos secretos internos para tener alguna esperanza de llegar tan lejos. Incluso la palabra “mainframe” es un anacronismo, ya que al día de hoy han sido casi completamente reemplazadas con algo llamado server farms.
Tomemos como ejemplo a Edward Snowden, el chico que logró robar muchos secretos importantes sobre el programa espía de la NSA. Snowden no robó toda esa información hackeando el sitio web de la NSA. Obtuvo todo desde dentro, gracias a que él trabajaba ahí como un administrador de sistemas de alto perfil. Hay muy poco que hackear cuando se te otorga la llave del reino.
4. Mito: Hackear es ilegal
Obviamente existen personas que hackean en nombre del mal — sin ellos no tendría trabajo. Yo trabajo como un hacker de “sombrero blanco” me pagan específicamente para detener a esa clase de personas. Pero muchos de los hackers que conozco dedican su tiempo y conocimientos a la investigación. Analizamos código fuente para encontrar algún fallo en él. Pueden llamarlo bandalismo preventivo — las empresas nos pagan para que penetremos en sus sistemas, para después explicarles como lo hicimos.
El otro lado del hacker de sombrero blanco es un tanto más mercenario: encontrar bugs (fallos) en sitios web y cobrar la recompensa. Es como realizar misiones en un MMORPG, sólo que las recompensas son en dinero en efectivo. Facebook para mínimo $500 dólares por alguna clase de evidencia sobre un fallo. Google puede pagarte hasta $20,000 si logras encontrar un fallo verdaderamente serio. Han pagado más de $2 millones de dólares en los últimos 3 años, porque el hecho de ser el buscador más utilizado del planeta te convierte en una piñata de dinero rellena de deliciosas vulnerabilidades.
Así es — los verdaderos hackers pasan la mayoría de su tiempo tratando de romper los sistemas de sitios de alto perfil. Y definitivamente no lo están haciendo porque son unos rebeldes anarquistas que luchan contra el Poder (no todos al menos), lo hacen para ayudar a que esos sitios sean más seguros, y claro por cada bug que descubren les espera una linda y sexy pila de dinero.
Existe incluso un sitio en donde se reúnen todas estas recompensas: Bugcrowd
Así que el hacking puede ser un trabajo verdadero cuando se trata de algo legítimo (y el negocio de los hackers de sombrero blanco es un gran negocio). Esto también derrumba por completo otro estereotipo que se maneja en las películas: que todos los hackers son tipos excéntricos y desconectados de la sociedad que viven y se alimentan del internet refugiados en sótanos oscuros. Aquí tenemos al hacker “Warlock” de la cuarta película Die Hard, en un “típico” sótano hacker.
Bueno, nuestro equipo trabaja en una oficina típica, y la mayoría de la gente aquí está casada. Y con esto no quiero decir que somos un grupo de hackers que rompe con todos los parámetros que creías correctos, los hackers asistimos a eventos donde los mejores y más brillantes se emborrachan e intercambian tarjetas de presentación. Black Hat y Def Con son esa clase de eventos, ambos repletos de todo tipo personas, incluso algunas usan traje (aunque las playeras son más comunes). Un conferencista en este evento era nada más y nada menos que el director de la NSA, y para que juzguen por ustedes mismos, el grupo de personas que escuchó su conferencia lucía así:
Si has pasado algún tiempo en la industria de la tecnología, reconocerás esto como un grupo bastante normal. Si, uno de ellos tenía un sombrero de ala, y créanme no se quedó con ganas de llevarlo de nuevo.
3. Mito: Hackear requiere de toda clase de software exótico
Así se ve la pantalla de un hacker en Hollywood:
o tal vez así:
Naturalmente Hollywood necesita endulzar un poco las cosas para brindarles algo interesante a la audiencia — y pasa lo mismo con casi todo, desde accidentes de autos a la arqueología. Pero todo esto causa la impresión de que para hackear necesitas que tu pantalla parezca lo más villana/divertida/extraterrestre posible. Bueno, aquí tienen una imagen de una VERDADERA herramienta hacker en acción:
Como lo habrán notado, existe una evidente ausencia de calaveras. Y bueno, si creen que se trata algo que podrían ejecutar directamente en su navegador… están en lo correcto. Una de las formas de hacking más común en estos días se llama Web application hacking. Que es básicamente buscar vulnerabilidades en distintos sitios web. Los hackers de sombrero blanco hacen esto como parte de su trabajo, los de sombrero negro hacen esto porque son idiotas.
Así que, si algún día pasas por nuestra oficina, parecerá que simplemente estamos navegando por la web. Las ventanas negras con texto verde brillante interminable se ven geniales, pero el cerebro humano trabaja mejor con algo más sobrio, como esto:
De hecho, buena parte de mi trabajo consiste en recargar páginas web una y otra vez — es una de las maneras en las que intentas romper los filtros de seguridad de un sitio. Intentas probar varias vulnerabilidades y recargas la página docenas de veces hasta que consigues encontrar un fallo.
Pero aunque no se vea tan exótico como en las películas, no significa necesariamente que puedan hacerlo con cualquier tipo de computadora. Aunque resulte extraño, las mismas películas que sugieren que para hackear necesitas alguna clase de interface futurística y llena de colores, también muestran que los hackers pueden hacer todo este tipo de cosas desde la comodidad de una laptop. Si quieres ser un hacker super-villano no puedes vivir atado a una computadora de escritorio, si claaaro…
Pero la mayoría del hacking es fuerza bruta: tratar cientos y cientos de cosas diferentes hasta que algo se rompe. Y para lograr todo eso necesitas… Poder.
Bien, es posible que consigas arreglártelas con una laptop durante algún tiempo… Pero cuando hablas de realizar verdadero trabajo pesado, necesitarás hacer uso de todos los recursos a tu alcance para ser capaz de realizar cientos de pruebas a diferentes sitios, manejando diferentes parámetros, todo esto al mismo tiempo. Y eso podría ser demasiado para el procesador de tu pequeña laptop (literalmente — Tengo una laptop a la cual considero potente, y cuando necesito realizar pruebas con más de 2 parámetros al mismo tiempo, necesito medios externos para enfriarla). Esa es la razón por la cual la mayoría de los hackers serios que conozco realizar el trabajo pesado en potentes computadoras de escritorio. Aunque normalmente éstas no tienen 7 monitores conectados a la vez como en la película Swordfish :
Y hablando de chicos que hackean maravillosamente mientras tienen un arma apuntando a su cabeza …
2. Mito: Para hackear necesitas reflejos relámpago
Muchas películas muestran a hackers escribiendo con furia sobre sus teclados, los comandos vuelan por la pantalla, demasiado rápidos para verse claramente — hackear en las películas es rápido, requiere reflejos y velocidad sobrehumana. Tiene sentido: Tienes que evadir la seguridad y a otros hackers — es el equivalente de una batalla con pistolas, granadas y explosiones, pero en la computadora. En el clásico duelo de hackers, el atacante dispara comandos y virus hacia el sistema, mientras que el grupo que defiende, se apresura a tratar de contrarrestar el ataque en tiempo real, tratando al mismo tiempo de localizar al hacker mientras continúa con su despiadado ataque de bombas lógicas, troyanos y comando aun más complejos.
En el mundo real, la mayoría de las herramientas hackers funcionan a dispara-y-olvida. Si quieres irrumpir en un sitio o en una dirección de IP en específico, simplemente eliges la herramienta adecuada, “apuntas”, y presionas ‘OK’. Después te alejas de la computadora por un rato hasta que la herramienta termina de hacer su trabajo. Gran parte del hacking consiste básicamente en oprimir el botón ‘Iniciar’ e ir a buscar un café.
Con esto no queremos hacer ver al hacking como algo que no requiere esfuerzo — esas herramientas funcionan sólo en ciertas ocasiones, y el resto del tiempo, no hacen absolutamente nada. Pero logran mostrarte donde están los problemas. Tal vez pase una hora antes de que la herramienta encuentre algún punto débil, para después pasar 15 minutos pensando en cómo aprovechar ese fallo y lograr romper la seguridad.
Y si todo esto suena a que incluso para hackear de manera profesional no se requiere ser un experto, bueno, vayamos al mito más grande de todos…
1. Mito: Se necesita ser un experto
Existe una razón por la cual los hackers parecen vivir en madrigueras informáticas: Son el tipo de personas que gastan cada segundo de su vida tratando de ser mejores hackers. Son monjes guerreros, pero con más Cheetos y Star Wars.
La realidad es que cuando vamos a una de esas ferias de empleo en las universidades, con frecuencia contratamos a personas que no tienen experiencia con computadoras. No se requieren tantos años de estudio o dedicación — podemos hacer que alguien vaya desde cero a hacker en seis meses. Hackear la seguridad de sitios web — a lo que me dedico — es en realidad un campo sencillo en el cual puedes ingresar. No necesitas años de preparación para comenzar a romper la seguridad de sitios web.
Cuando comienzas a trabajar con nosotros, asumimos que no tienes conocimientos sobre como funciona Internet, así que comenzamos por explicar como responden los sitios web a las peticiones y procedemos a buscar vulnerabilidades. No se necesitas años de obsesión para formar a un hacker promedio. Se trata de un oficio, como soldador o barman. Y por supuesto, el mundo tiene verdaderos artistas en el manejo de los metales así como maestros mezcladores de bebidas, y las personas que se ganan la vida uniendo piezas de metal y sirviendo tragos en un bar, mantienen las cosas funcionando en sus respectivas áreas de trabajo.
La verdad es que, existen solamente alrededor de 50 tipos diferentes de amenazas reconocidas por la Web Application Security Consortium, y cada uno de los trabajadores que laboran en nuestra compañía sólo necesitan saber identificar un puñado de ellas. Tal vez te tome una semana o dos aprender los conceptos más elementales del hacking, y casi desde el primer día estás practicando con aplicaciones web reales. HackThisSite.org puede ayudarte con lo básico y probablemente comiences a hackear en cuestión de semanas.
Aprender y buscar vulnerabilidades es la parte sencilla del hacking (este curso de hacking ético asegura tener un 90 por ciento de probabilidades de éxito). La parte difícil comienza cuando decides explotar tales vulnerabilidades. Pero hay más dinero (y menos arrestos) al resistirte a reemplazar la portada del sitio de la Casa Blanca con tu imagen de mi-trasero.jpg.
No hay comentarios:
Publicar un comentario