Barrapunto

Cada día estoy más convencido de que los hackers de película no existen. Lo mismo que no existe el coco ni el hombre del saco ni los vídeos snuff.

Llevo desde 1995 administrando servidores. Nunca me he dedicado a blindarlos y nunca me han entrado en ninguno de ellos. Ni a mi ni a (salvando algún caso muy raro) ninguno de los tíos que curran a mi lado. Eso si, escaneos de puertos, virus para windows y exploits obsoletos, todos los días. A veces hasta me habré encantado en actualizar mis paquetes y me he encontrado con que me he dejado un servidor importante expuesto durante semanas... para acabar viendo como la gente descubre el agujero y no sabe que hacer con él. Al final siempre llega un tío dispuesto a explotar tu vulnerabilidad y resulta que es tan incompetente que nisiquiera es capaz de colarse en la máquina cuando no es tan fácil como pasar un script y obtener root. Y generalmente no lo es.

O sea, que no. Que los que tienen los conocimientos necesarios para jugar a los hackers en la liga profesional tienen algo mejor que hacer con su tiempo libre que joderle la máquina al primer administrador sobrecargado de faena que encuentran. Y los que si que se dedican a intentar joderte el empleo por aquello de que tienen las ganas, la poca vergüenza (tratar de quitarle el control de la máquina a un tío que es incapaz de defenderla por aquello de que administra doce armarios de servidores por seiscientos euros al mes no tiene ningún mérito ni ninguna gracia, es sólo un abuso!) y los huevos a terminar dando con sus huesos en el juzgado... esos son los que no tienen ni puta idea de cómo funciona todo esto. Esta es la cruda realidad, hay que asumirlo.

Vamos, que a mi me parece perfectamente normal que Mitnick nunca "hackeara" el FBI. Eso es porque nadie "hackea" nada. Y nadie "hackea" nada porque no vale la pena y porque, a poco de seria que sea la máquina víctima, no es tan fácil. Todo esto del notas que va por Internet colándose en las máquinas del vecino como Pedro por su casa (se cambia las notas cuando va al instituto, le vacía la cuenta bancaria al personal, se cuela en el Departamento de Defensa y desata una crisis de seguridad en el Pentágono...) es una horripilante conjunción de imaginario popular, fetiche sexual, lo peor de Hollywood, y tal vez algún que otro extraño caso real, que luego es lo que mantiene vivo el mito para joderme a mi el curro. Y es que, aunque no creo que me pase nunca, si algún dia me entra en un servidor corporativo uno de esos chavales con ganas de divertirse, un exploit fresco y un encefalograma plano, eso me costaría mi empleo. La gente tiende a perder eso de vista cuando habla de comprometer ordenadores ajenos: nadie piensa en las personas que hay detrás de ellos.

P.D. Y, por favor, no me vengáis ahora todos en tromba con coñas marineras de esas en las que te explican lo que es un hacker y lo que no y la diferencia que hay entre un hacker, un cracker y un piano. No quiero volver a oir hablar de "la ética de los auténticos hackers" y todo eso. Yo a lo que voy es a hablar de *bulos* como el de Mitnick y compañía. Lo demás son flautas, etiquetas, masturbación mental y tribus urbanas.

Llevo desde 1995 administrando servidores. Nunca me he dedicado a blindarlos y nunca me han entrado en ninguno de ellos.

Ummmm... te diría que los servidores que has administrado tienen el interés de las últimas noticias de embarazo de la veneno o que has tenido una potra increible durante 10 años, machote (esto último no se lo traga ni la María Bradelo).

Todo esto del notas que va por Internet colándose en las máquinas del vecino como Pedro por su casa [...] es una horripilante conjunción de imaginario popular, fetiche sexual, lo peor de Hollywood, y tal vez algún que otro extraño caso real, que luego es lo que mantiene vivo el mito para joderme a mi el curro.

1. En primer lugar, eso es una realidad. Una cosa es que no sea de visibilidad pública o que no se entere la gente. Dejando ya a un lado los "hackers", te sorprenderías de ver la de lamers sin idea que se dedican a entrar en ordenadores y hacer "tonterías" (tales como obtener números de tarjetas de crédito, curriculums o datos personales) con herramientas sencillas como el netbrute por ejemplo. Todo esto gracias a que la gran mayoría de usuarios de la red no tienen las nociones más básicas de seguridad.
2. En segundo lugar toda esa gente, atacantes, ya sean hackers malintencionados (o no), lamers o curiosos no te "joden el trabajo". Más bién "te dan trabajo", no crees?

PD:
- Y dime la IP de tus servidores, que los tiro ahora mismo...
- 127.0.0.1
- Jajajajaa, ahora verás...
[Arnasio logged off: disconnected]

Esto... No es por joder pero... A mi, basicamente, lo que me das a entender es que tu trabajo es inutil, que sobra tu puesto y que te acojona el personal que pueda entrar como al médico le acojona el virus de la gripe o al albañil el martillo colgado del cinturón.

A ver si nos entendemos... nos estás diciendo que si algún día entrara alguien en un servidor de los de tu empresa te costaría el puesto?? y en caso de que así sea (que me parece muy bien por parte de los responsables de tu empresa aunque altamente improbable)... te jodería que lo hicieran?? (me refiero al entrar en el servidor)... entonces... ¿¿¿para que estás trabajando??? o sea, sí, para ganar dinerito lindo del que a todos nos gusta pero... si esa gente que tanto te jode no existiera, escucharan tus magníficas palabras y dejaran de hacer sus "fechorías"... crees que seguirías trabajando o serías un individuo prescindible??

Vamos, que sí, que entiendo que te toque la moral la falta de emoción en tu trabajo por que no hay retos, no entra ni dios y cuando lo hace no tiene ni puñetera idea de que hacer ahí y eso es un coñazo... vale... pero es que da la casualidad de que es un trabajo y como tal, raramente es gratificante.

Lo siento, no quería ser yo el que te diera esta noticia. Espero no haber arruinado tus ilusiones.

No mezclemos churros con merinas. Si no han entrado en tus sistemas (cosa que clamas con orgullo, aunque te paguen por administrarlos) es quizás porque a nadie le interesa.

Me temo que no has leído las crónicas de "hackeos" (a quien le pique la palabra que use otra, no pretendo iniciar un flame semántico) a Telefónica, a un conocido banco español al que sisaron una GRAN cantidad de dinero (banco que contrató a una auditora llamada s21sec [s21sec.com], compuesta por miembros de la escena del underground español -casi todos ex miembros de !H-, que no logró hallar al intruso), y mil y una historias más que están PUBLICADAS, logs y todo inclusive.

Seguramente lo mismo que tú pensaba el tipo que administraba el servidor web del gobierno, en la época de Aznar cuando se hizo el deface a la web del gobierno. Porque claro, ni a mí ni a mis amigotes nos ha pasado nunca, y ya sabemos que todo eso son patrañas hollywoodienses.

Os dejo algunos textos, estoy seguro de que más de uno disfrutará leyendo:

Asalto al web del dinero [aleuka.com] (robo a un banco, España)
Uno entre .mil [aleuka.com] (Intrusión a un servidor de la milicia de USA)
El último paquete [aleuka.com] (MÍTICO, imprescindible. El últiom hackeo a telefónica relatado)
De safari por la red [aleuka.com] (Intrusión a un ISP)
Un paseo por la GVA [aleuka.com] (Breve paseo sobre uno de los servidores de la comunidad valenciana)

Sin ánimo de crear un infinito flame de opiniones gratuitas y engoladas definiciones románticas de qué es un hacker y qué es una nectarina, ahí están algunos textos. Viejos, incluso algunos arcaicos, pero interesantes.

Que se disfruten.

Creia que era el unico que pensaba asi, menos mal. Si estas detras de un firewall y mas o menos actualizado veo practicamente imposible un hackeo.

Como dices, tu trabajo consiste en que tus maquinas den servicio, y las preocupaciones por la seguridad, resultan lamentables, exageradas y muchas veces absurdas.

Un ejemplo de preocupaciones absurdas: tuve que cambiar la clave de apache sobre https para aceptar claves minimas de 128 bits.

Os lo imaginais? El tipo de ataque necesario para romper una sesion https on line de 64 bits ? Joder, supongo se podra hacer, con un cluster o un supercomputador, pero vamos, suficiente para escribir una tesis.

A eso me refiero con la paranoia. Yo lo adverti, pero nada, me obligaron a configurarlo asi. No se si se soluciono algun problema de seguridad, eso si, como 100 llamadas de clientes diciendo que "Ya no puedo ver la web, uso win95 con ie5.0..." Respuesta: "Debe usted actualizarse a ie6 como minimo y tal" ... en fin, da~o de imagen 10, incremento de seguridad 0, paranoia 20. La prioridad debe de estar en dar servicio. Muerte a los hackers listillos.