Hackear al hacker. Roger A. Grimes
Читать онлайн книгу.
en curso con distintas batallas, ganadores y vencidos. La parte más persistente será quien gane la guerra.
Los sombreros de los hackers
Yo he sido hacker toda mi vida. Me han pagado para acceder a sitios (tenía autorización legal para hacerlo). He crackeado contraseñas, me he introducido en redes de trabajo y he desarrollado malware. En ningún momento he incumplido la ley ni cruzado los límites éticos. Esto no significa que no haya habido gente que me haya tentado a hacerlo. Durante estos años, he tenido amigos que me han pedido que entrara en los chats sospechosos del teléfono móvil de su esposa, jefes que me han pedido que accediera al correo electrónico de su superior o gente que me ha pedido que irrumpiera en el servidor de un hacker malo (sin autorización judicial) para intentar evitar que continuara hackeando. Cuando empiezas, tienes que decidir quién eres y cuál es tu ética. Yo decidí que sería un hacker bueno (un hacker «de sombrero blanco»), y los hackers de sombrero blanco no hacen cosas ilegales ni no éticas.
Los hackers que participan habitualmente en actividades ilegales y no éticas se denominan «de sombrero negro». Los hackers que actúan como un sombrero blanco pero que, a escondidas, realizan actividades de sombrero negro se conocen como «de sombrero gris». Mi código moral es binario en este tema. Los hackers de sombrero gris son hackers de sombrero negro. O haces cosas ilegales o no las haces. Si robas un banco serás un ladrón, hagas lo que hagas con el dinero.
Esto no significa que los hackers de sombrero negro no puedan convertirse en hackers de sombrero blanco. Esto siempre ocurre. La pregunta para algunos de ellos es si podrán convertirse en hackers de sombrero blanco antes de pasar un tiempo sustancial en prisión. Kevin Mitnick (https://es.wikipedia.org/wiki/Kevin_Mitnick), uno de los hackers detenidos más conocidos de la historia (y presentado en el Capítulo 5), vive actualmente como defensor ayudando al bien común. Robert T. Morris, el primero en programar y lanzar un gusano que tumbó Internet (https://es.wikipedia.org/wiki/Robert_Tappan_Morris), finalmente fue galardonado como miembro de la Association for Computing Machinery (http://awards.acm.org/award_winners/morris_4169967.cfm) «por sus contribuciones en redes de ordenadores, sistemas distribuidos y sistemas operativos».
Al principio, el límite entre el hackeo legal e ilegal no estaba tan claramente definido como ahora. De hecho, a la mayoría de los primeros hackers ilegales se les dio un estado de culto de superhéroe. Incluso no puedo evitar sentirme atraído por alguno de ellos. John Draper (también conocido como Captain Crunch) utilizó un silbato de juguete que se distribuía en las cajas de los cereales Cap’n Crunch para generar un tono (2.600 Hz) que podía servir para realizar llamadas telefónicas de larga distancia gratis. Muchos de los hackers que han puesto al descubierto información privada para «una buena causa» han sido aplaudidos. Sin embargo, con pocas excepciones, yo no he adoptado nunca una visión idealizada de los hackers maliciosos. Siempre he sido de la opinión que la gente que hace cosas sin autorización en ordenadores e información de otras personas está cometiendo actos criminales.
Hace años, cuando empecé a interesarme por los ordenadores, leí un libro titulado Hackers: Heroes of the Computer Revolution [ Hackers: héroes de la revolución informática], de Steven Levy. En la era adulta de los ordenadores personales, Levy escribió una entretenida historia de hackers, buenos y malos, que incorpora el ethos del hacker. La mayor parte del libro está dedicada a gente que mejora el mundo mediante el uso de ordenadores, pero también habla de aquellos hackers que hoy en día serían arrestados por sus actividades. Algunos de estos hackers creían que el fin justifica los medios y siguieron una serie de reglas morales enmarcadas en algo que Levy llamó «ética hacker ». Las más importantes de estas creencias eran que se puede acceder a cualquier ordenador cuando se tiene una razón legítima, que toda la información debería ser libre y que hay que desconfiar de las autoridades. Era una visión romántica del hackeo y de los hackers, aunque no ocultaba los cuestionables problemas éticos y legales. De hecho, se centró en los nuevos límites emergentes.
Steven Levy fue el primer autor al que le envié una copia de mi libro y le pedí que me lo devolviera firmado (algo que otros me han hecho a mí, que he escrito 8 libros). Levy ahora es escritor, se ha convertido en editor técnico para distintas revistas, entre ellas Newsweek, Wired y Rolling Stone, y ha escrito 6 libros sobre temas de seguridad informática. Actualmente, Levy sigue siendo un importante escritor de tecnología. Su libro Hackers me introdujo en el maravilloso mundo del hackeo en general.
Más tarde, otros libros, como Flu-Shot [Vacuna contra la gripe], de Ross Greenberg (descatalogado desde hace tiempo), y Computer Viruses, Worms, Data Diddlers, Killer Programs, and Other Threats to Your System [Virus informáticos, gusanos, corruptores de datos, programas asesinos y otras amenazas para tu sistema] de John McAfee, me hicieron empezar a luchar contra los hackers maliciosos. Al leerlos me emocioné lo suficiente como para dedicarme de por vida a combatir las mismas amenazas.
En todo este tiempo, he aprendido que los defensores son los hackers más inteligentes. No quiero pintar a todos los hackers maliciosos con el mismo toque de mediocridad. Cada año surgen hackers deshonestos que descubren cosas nuevas. Existen muy pocos hackers inteligentes. La amplia mayoría de hackers maliciosos simplemente repiten algo que funciona desde hace 20 años. Para ser honestos, la media de los hackers maliciosos no tiene el suficiente talento de programación como para escribir una simple aplicación de texto, y mucho menos para descubrir ellos solos cómo acceder a algún sitio, descifrar códigos encriptados o adivinar con éxito contraseñas —no sin mucha ayuda por parte de otros hackers que años antes ya habían realizado el verdadero trabajo intelectual.
Lo irónico es que toda la gente superinteligente que conozco del mundo informático no son hackers maliciosos, sino defensores. Ellos tienen que saber todo lo que hacen los hackers, adivinar lo que harán en un futuro y crear una defensa intuitiva y fácil contra todos ellos. El mundo de los defensores está lleno de doctores, estudiantes de máster y empresarios con éxito. Los hackers pocas veces me impresionan. Los defensores siempre lo hacen.
Es normal que los defensores descubran nuevas formas de hackear sin que nadie lo sepa. La tarea de los defensores es defender, y dar a los hackers maliciosos nuevas maneras de hackear algo antes de que las defensas estén en su sitio no facilita la vida a nadie. La forma de ganarse la vida de los defensores es descubrir un nuevo hackeo y ayudar a cerrar el agujero antes de que sea descubierto por el mundo exterior. Esto ocurre muchas más veces que al contrario (es decir, que el hacker externo descubra un nuevo agujero).
He visto más de una vez defensores que descubren un nuevo hackeo y, por razones de eficiencia de costes o de tiempo, el agujero no se soluciona de inmediato y, más tarde, un hacker externo se acredita como «descubridor». Desafortunadamente, los defensores no siempre obtienen la gloria y los agradecimientos inmediatos cuando realizan su trabajo diario.
Después de observar con atención tanto a hackers maliciosos como a defensores durante casi tres décadas, tengo claro que los defensores son los más impresionantes de los dos. Y con diferencia. Si quieres demostrar a alguien lo bueno que eres en informática, no le muestres un nuevo hackeo. Muéstrale una nueva y mejor defensa. Encontrar una nueva forma de hackear no requiere inteligencia. Simplemente requiere persistencia. Y se necesitan personas especiales e inteligentes para construir algo capaz de soportar hackeos constantes durante largos periodos de tiempo.
Si quieres impresionar al mundo, no derribes el garaje. En lugar de eso, crea un código que pueda soportar el hacha matadora del hacker.
2
Cómo hackean los hackers
La