Pero aunque todas esas cosas aún no han cambiado, al menos me ha servido para darme cuenta de algo: escribir sirve para olvidarme por un rato de todos los problemas.

Así que, dado que no encuentro historias sobre hackers mínimamente interesantes, comenzamos con una nueva serie: la Guerra fría.

Muchos de nosotros la vivimos, otros sois demasiado jóvenes para recordarla y quizás os suene como algo muy lejano.
Pero no es así. A pesar de comenzar en 1945, cuando terminó la 2ª Guerra mundial y las potencias repartieron Europa, esta se prolongó hasta 1989 con la caída del “Muro de Berlín”.

En esos años tuvieron lugar historias increibles, muchas de ellas bastante duras, pero siempre hubo algo que permitía a los que la vivieron más de cerca: el ingenio que el ser humano desarrolla en los momentos más difíciles.

Esta serie pretende dar a conocer esos hechos que hoy están comenzando a olvidarse.

Espero que os guste

Un sitio que parece sacado de un telefilm, y que no sería muy conocido más allá de las fronteras Condado de no ser por el hijo de los Hahn.

Eran los años 90. David Charles Hahn, o simplemente David, era el típico adolescente. Apasionado de los deportes, no destacaba en los estudios, y había visto divorciarse a sus padres. Vivía con su padre Ken y su nueva esposa Kathy en una casita en Commerce. Los fines de semana los pasaba con su madre Patty y su padrastro Michael muy cerca de su hogar, en Golf Manor.

David se había inscrito en los Boys Scouts como muchos otros niños de su vecindario y vivía como cualquier otro de su edad. Adoraba a su padre y estaba fascinado por trabajo, Químico. Tanto que  Kathy, cuando David cumplió 10 años, decidió regalarle un libro de química para niños: “The Golden book of Chemistry Experiments”

The Golden Book of Chemistry

(Podeis descargar legalmente una copia del libro en Scribd o en About.com)

David no tardó mucho tiempo en devorar el libro, y comenzó a estudiar los de su padre a la par que instalaba un pequeño laboratorio en el sótano.

Una noche depués de cenar, cuando David tenía 14 años, bajó como de costumbre a realizar sus experimentos antes de ir a dormir. Todo parecía tranquilo hasta que, súbitamente, una fuerte explosión sacudió toda la vivienda.
Entre el humo, los gritos de Ken y las lágrimas de Kathy mientras corrían aterrorizados para socorrer a su pequeño, este apareció entra la humareda con heridas en los ojos y un destornillador en la mano. Lo estaba usando para mezclar químicos en un recipiente, y el compuesto estalló.

David había fabricado Nitroglicerina.

Nada más salir del hospital, y sin dudarlo un solo instante, Kathy prohibió a su hijo volver a hacer experimentos en casa. Ni corto ni perezoso, David trasladó sus chamuscadas posesiones a casa de Patty y Michael donde continuó con sus investigaciones.

Su padre, Ken, temía que su hijo terminara mal. Pero tuvo una idea. ¿Que tal si convencemos a David para que consiga una insignia de Eagle Scout?
Era un objetivo bastante difícil de conseguir. Entre los requisitos figura conseguir 21 medallas al mérito, y eso le llevaría bastante tiempo. El suficiente para que abandonara esos experimentos que tanto preocupaban a toda la familia.

Poco antes de cumplir los 15, David consiguió su primera medalla… en Energía Nuclear.

Y esto fue sólo el principio. Se marcó un nuevo y ambicioso objetivo: quería crear un nuevo tipo de combustible capaz de sustituir al petróleo, pero para eso necesitaba construir herramientas muy específicas; concretamente un cañón de neutrones con la que producir un elemento fisionable: el Uranio-233

Detector de humos

Sin pensarlo mucho, escribió a la Nuclear Regulatory Commision fingiendo ser un profesor de física de la Chippewa Valley High School buscando información sobre isótopos radiactivos para una clase. Y consiguió casi toda la información que necesitaba. A fin de cuentas, se trataba de un profesor que buscaba cualquier tipo de isótopo que pudiera serle útil y fácil de conseguir.
De esa forma, supo que el Americio-241 se usaba en detectores de humo. Así que puso en marcha la segunda parte de su plan.

Manteniendo su tapadera de profesor, comenzó a preguntar en varias empresas, solicitando muestras en gran cantidad para un experimento escolar. Una de ellas le vendió un lote de 100 unidades averiadas, a 1$ la unidad.

Disco de Americio en un sensor de humos

Con mucha paciencia, desmontó los detectores hasta encontrar los pequeños discos de Americio. Puso el material en un bloque de plomo con un pequeño agujero por el cual saldría la radiación Alfa.
Apuntó el haz hacia una pequeña placa de aluminio, que al recibir la radiación emitiría neutrones.

Ya tenía su cañón de neutrones. Ahora necesitaba un elemento que al ser bombardeado produjera Uranio-233 y que fuera fácil de conseguir. Continuó investigando y encontró su objetivo: lámparas de gas.

Lámpara de gas

Realmente no necesitaba toda la lámpara, sólo la camisa de tela que recubre el quemador y es la responsable de producir la luz. Esta tela está impregnada de un compuesto que contiene una ínfima cantidad de Torio-232. Si bombardeaba el Torio con el haz de neutrones, este absorbería un neutrón y se convertiría en su precioso Uranio-233

Ahorrando todo lo que puedo, compró miles de caperuzas, las quemó y guardó las cenizas. Ahora necesitaba separar el Torio.
Para purificarlo, compró cientos de pilas de Litio en tiendas de electrónica, las abrió, extrajo el Litio, lo trituró lo mejor que pudo, y lo mezcló con las cenizas de las caperuzas.

Camisas para lámparas de gas

Envolvió la mezcla en papel de aluminio,  la calentó con un mechero Bunsen de su laboratorio y obtuvo lo que estaba buscando: Torio purificado.

En ese momento se dispuso al paso final: bombardear el Torio-232 con el cañón de neutrones.

LLeno de excitació, puso el Torio en posición, dirigió el cañón de neutrones hacia él… y no ocurrió nada. Su cañón no tenía potencia suficiente.

Frustrado por este contratiempo, decidió pasar a mayores. Nada de usar materiales tan poco potentes; lo mejor era usar algo más efectivo, pero también más peligroso: Radio, Berilio y Uranio.

Conseguir el Radio sería su primer objetivo, pero sabía donde buscar: en relojes antiguos.
Los fabricantes de relojes pintaban las agujas con un esmalte que contenía Radio, lo cual permitía ver la hora en la oscuridad. Sin embargo, antes necesitaba otra cosa: dinero.

Reloj siglo XIX

Los relojes antiguos, salvo por desconocimiento del vendedor, no son nada baratos. David necesitaría cientos de ellos para arañar la pintura de las manecillas y obtener la cantidad necesaria de Radio.
El tiempo que le llevaría conseguir el material le preocupaba: era demasiado. Sin embargo, esto no hizo mella en su empeño.

Armado de una paciencia infinita, David trabajaba en cualquier cosa que pudiera proporcionarle algo de efectivo para adquirir sus preciados relojes. Poco a poco, consiguió hacerse con una buena colección de ellos a los que desmontaba cuidadosamente el cristal para acceder a la pintura que raspaba delicadamente para no perder ni un gramo.

Sin embargo, no resultaba demasiado productivo, y necesitaba conseguir mayores cantidades.

Un día, el destino pareció sonreirle. En una tienda de antiguedades, encontró un reloj de sobremesa antíguo. Estaba estropeado, y sólo costaba 10$, así que lo compró sin pensarlo mucho, sabiendo que sólo obtendría de nuevo unos pocos gramos de pintura.Y al desmontarlo encontró algo muy habitual en los objetos de época: un cajón secreto.

Dentro había un frasco con pintura de Radio casi lleno. Dejó secar la pintura hasta conseguir sales de Radio, y vió algo que no le gustó. El brillo mortecino del Radio parecía especialmente intenso. La radiación estaba más que presente, y le resultaba evidente que se estaba exponiendo a ella, contaminándose.

Pensó en abandonar antes de empeorar la situación, pero poco después, un amigo le proporcionó una lámina de Berilio que había conseguido de un laboratorio.

Tenía todo lo que necesitaba. Reemplazó el Americio del bloque de plomo por el radio, colocó mineral de Pechblenda pulverizado  en posición, y comenzó a bombardearlo. Lo había conseguido: estaba fabricando Uranio-233

Su plan funcionaba, ahora “sólo” necesitaba construir un reactor nuclear que le permitiese generar electricidad para la casa.

Cinta americana (Dutch tape)

Usando unos planos que encontró en los libros de texto de su padre, contruyó un contenedor con los medios de que disponía. Mezcló Radio, Americio, Berilio y Aluminio, y lo envolvió en papel de aluminio. Luego hizo una cubierta proyectora usando cinta adhesiva, cubos de torio, lo espolvoreó con polvo de Uranio y envolvió la bola de papel de aluminio con ella.

La radiación se detectaba a más de 500m de su casa, y se dió cuenta de lo que había hecho. Tenía que deshacerse de todo. No sólo estaba poniéndose en peligro él mismo, sino a su familia y a sus vecinos.

Acababa de cumplir 17 años.

Sin pensarlo mucho, repartió su laboratorio entre la casa de su madre, la de su padre, y decidió buscar un sitio en su coche para hacer desaparecer el resto.

Cargó el maletero con todo lo que pudo, y salió a la carretera buscando un sitio para deshacerse de las pruebas. Encontró un rinconcito en un arcén que parecía perfecto para eliminarlas; cuando estaba a punto de hacerlo, apareció la policía.
Un vecino había visto a David subiendo y bajando de un coche, buscando algo, y le pareció sospechoso.

Al abrir el maletero a requerimiento de los agentes, estos vieron una cinta con unos cubos metálicos, manchada de polvo, barras metálicas y montones de herramientas extrañas.
Fueron a tocarlas para ver de que se trataba, y en ese momento David les avisó de que se trataba de material radioactivo.

Fue detenido como sospechoso de intentar crear una Bomba sucia, y se declaró una alerta de seguridad nuclear en la zona. La administración tuvo que montar un colosal dispositivo de emergencia para eliminar todos los residuos en contenedores de hormigón, y enterrarlos en una zona segura.

David pareció arrepentirse de lo que había hecho, y se alistó en la marina, donde fue asignado al USS Enterprise… a reactores nucleares. Una vez licenciado, comenzó una vida nueva.

El 1 de Agosto de 2007 fue arrestado de nuevo acusado de robar detectores de humo de edificios en obras y abandonados, que la policía encontró en grandes cantidades desmontados en su apartamento.

En su cara, había cicatrices por haber estado expuesto a radiación.

¡Ah! ¡El Salami!

Ese exquisito manjar, menospreciado por muchos, y que degustábamos en los años de Universidad las noches de los Viernes al terminar las clases, con un botellín de cerveza bien frio.

Veamos un poco de cultura gastronómica.

El Salami se elabora con una mezcla de carnes de vacuno y porcino sazonadas, que se ahuman y posteriormente se dejan curar al aire. Similar al salchichón en su aspecto a primera vista, destaca por ser muy tierno, con un sabor suave y aromático, cortándose generalmente en lonchas muy finas.

Y es aqui, querido lector, donde comienza la historia de la Técnica del Salami. Una técnica casi tan antigua como el hombre, donde se intenta obtener el mayor beneficio posible a partir de pequeñas cantidades tomadas de diversas fuentes.

¿Recordais la película “Superman III” de 1983? En ella Richard Pryor protagonizaba una escena que muestra perfectamente una de las múltiples variantes de este delito, fácil de ejecutar, relativamente simple de programar y dificilmente detectable salvo mediante una auditoría exhaustiva:

Pinche aquí para ver el vídeo

Hace muchos años, la picaresca de algunos comerciantes les permitía obtener mayores beneficios con la venta de este embutido mediante pequeños trucos.

Por ejemplo, cuando el embutido se vendía envasado al vacío, solía indicarse la cantidad de lonchas que incluía el paquete con una nota que indicaba que era aproximado. En un supermercado ya desaparecido cerca de casa (no me extraña que lo cerraran), rara era la vez que el supuesto sobre de 25 lonchas contenía esa cantidad. Normalmente eran una o dos menos, con lo cual de los supuestos 6 sandwiches a 4 lonchas cada uno… bueno, siempre faltaban lonchas.

Haciendo cuentas, si de cada salami se obtenían 25 paquetes a 25 lonchas, sólo con quitar una de envase el comerciante conseguía un paquete extra a coste cero.
Afortunadamente, la legislación cambió y los envases deben cobrarse según peso exacto.

Otra posibilidad (y esto os va a recordar la escena de la película) era que algunos charcuteros guardaban los restos de salami que no podían vender al ser demasiado pequeños para cortarlos. Cuando tenían suficiente los utilizaban para hacer paté de salami, que vendian bastante caro, o incluso llegaban a triturarlos añadiendo aglutinantes, los introducían en moldes… y fabricaban un salami.

¿Y que tiene que ver todo esto con los delitos informáticos?

Muy sencillo. Hablemos de redondeos.

Cualquier operación matemática que hagamos relacionada con Euros, Soles, Bolívares, Pesos, Dólares… conlleva el uso de decimales. Así, lo normal es que al adquirir un artículo este tenga un precio de 19’95€ (nada de 20€, que es un número más redondo), o que al recibir cualquier factura o recibo, luego de aplicar impuestos resulte una cantidad nada redonda. Por ejemplo, mi operador de telefonía cobra los SMS a 0’08€.
Tras impuestos (un 18% de IVA en España), cada SMS se paga a 0’0944€.

Hasta aquí, todo correcto, pero… ¿os habeis dado cuenta de un detalle? Tengo que pagar 0’44 céntimos, menos de medio céntimo.

A ver si encuentro una de estas...

Bien, si repaso mi factura de telefonía de este mes con SMS, llamadas y tráfico de datos, y hago las cuentas sin redondear, me encuentro con que me han cobrado 84’73€ (lo sé, hablo muuucho por el móvil), PERO la suma sin redondear es de 84’726€.

Como veis, he pagado 0’004€ de más. Según la legislación española, los redondeos pueden hacer al alza o a la baja. Si el decimal es superior a 5, debe ser de la primera forma. En otro caso, se procederá de la segunda.
Es decir, que si algo vale 1’945€, pueden cobrarme 1’95€. Si fuera 1’944€, pagaría 1’94€.
Por tanto, podemos decir que para las cifras 1,2,3 y 4 la compañía pierde décimas de céntimo, pero con 5,6,7,8 y 9 los gana.

Quedaos con esta idea y sigamos avanzando…

Supongamos que mi compañía de telefonía (que no diré cual es porque no quiero problemas), que tiene unos cuantos millones de abonados. Digamos, por hacerlo sencillo, que tiene 1.000.000 de clientes.

De esos clientes, a 400.000 le pierde décimas de céntimo, pero a 600.000 se lo gana. Para promediar, digamos que estamos hablando de 0’1 céntimos: lo mínimo.
Una sencilla operación matemática, (600.000 – 400.000) x 0’1, y tenemos una ganancia no prevista de 20.000 céntimos; es decir, 200€

Como comprendereis, en empresas que facturan millones y millones de euros, esa cantidad es ridícula. No buscan ese beneficio, pero se lo encuentran. Incluso si tuviera cien millones de clientes, la cifra es de 20.000€. No es un robo, es símplemente… redondeo.

Resumiendo, que ellos no hacen negocio con esto. Es más, al realizar sus balances contables lo normal es que ese descuadre por exceso (o por defecto) pase sin pena ni gloria. No les afecta como al resto de mortales.

La técnica del salami en delitos informáticos hace precisamente eso: apropiarse de esas fracciones de céntimos y transferirlas a otras cuentas. Una vez acumulado suficiente capital, el delincuente lo retira y desaparece.

Antes, cuando la memoria de los equipos era limitada y cara, no abundaban precisamente los sistemas de más de 32 bits, el almacenamiento se pagaba a precio de sangre de Unicornio, y los sistemas buscaban la mayor eficiencia posible en consumo de memoria, procesador y espacio en disco o cinta reduciendo el tamaño de los datos (sobre todo en COBOL, ese endemoniado lenguaje donde las variables numéricas se declaraban indicando el número exacto de decimales a emplear, y que todavía me produce pesadillas), el redondeo se usaba en muchos procedimientos para disminuir el uso de recursos.

Disco Duro 1Gb de 1980. Precio: 193.000 dólares... interfaces no incluidos

Un programador podría generar un procedimiento con una simple variable que recogiera esas décimas de céntimo, y al completar un valor almacenable transferirlo a una cuenta bancaria.

A la hora de auditar las cuentas, todo cuadraba… al céntimo.

Hoy dia, no existen esos impedimentos técnicos para almacenar datos. Las facturas del móvil por ejemplo vienen con 4 decimales en lugar de dos; los datos que se almacena cualquier programa contable… bueno, podeis haceros una idea de la cantidad de dígitos que se emplean dado que el coste de almacenamiento es my bajo.

Si un delincuente implementa un Salami en estos tiempos, es garantía segura de que será detectado en poco tiempo, que el “beneficio” será ridículo al tener que utilizar milmillonésimas de céntimo… y que seguro pasará una buena temporada en la carcel.

Antes que nada, y con un poco de retraso (bueno, bastante en realidad), quisiera agradecer a todos y cada uno de los miembros de Imaginática su amabilidad por la atención dispensada, y sobre todo por el honor de participar como ponente en sus Jornadas.

Creedme si os digo que ha sido un auténtico placer haberos conocido, y volver a la Facultad donde estudié.

Sigamos…

Al finalizar la charla surgieron muchas preguntas, algunas de las cuales pude resolver en el momento, otras para las que di una explicación breve debido al poco tiempo disponible, y unas pocas que me plantearon al salir de la sala.

Como creo que es un tema interesante, os dejo un resumen-aclaración de ellas. Si veis que falta alguna, no dudeis en preguntar y lo aclararemos.

Comenzamos:

¿Cómo actúa un White Hacker, frente a un Black Hacker?

Pues vereis: las técnicas son las mismas, no hay diferencias.
Las diferencias son:

1. Un White Hacker no “ataca por gusto”; lo hace por que tiene un contrato con un cliente para probar la seguridad de un sistema de su propiedad.
2. Nosotros probamos que si el sistema es vulnerable o no, pero sólo eso. Por ejemplo, si fuera la puerta de una casa, intentamos abrirla; si lo conseguimos, paramos en ese punto y no entramos dentro.
3. Si necesitamos dejar pruebas, hacemos algo que no sea dañino para el cliente o su imagen.
   En el ejemplo anterior, entraríamos, dejaríamos una nota en la entrada y saldríamos de la casa para decirle al cliente “mira lo que te he dejado de prueba”.
4. Ante todo, elegancia. En el ejemplo de la puerta, usaríamos herramientas que no dañasen la puerta, el marco o la pared.
5. Un Black Hacker es un delincuente. No lo dudeis ni un instante.

¿Es más seguro Linux que Windows?

Si y no.

Windows basa su seguridad en ser un entorno cerrado, en el cual no puedes ver el código, lo cual dificulta (en teoría) el trabajo. Sin embargo, hay muchos más equipos con Windows que con Linux y por tanto es un blanco más asequible. Un sistema basado en Windows, con todas sus aplicaciones correctamente configuradas y las medidas de seguridad adecuadas, es tan seguro como el que más.

GNU/Linux, en cambio, basa su seguridad en el Código Abierto. Cualquiera puede tomarlo y modificarlo a su gusto, incluso con malas intenciones.
Su seguridad viene, precisamente, porque cualquiera puede revisar el código y comprobar si hay algo raro.
Si bajamos un fuente de un sitio desconocido, sin confianza, o un ejecutable fuera de repositorios oficiales… ya sabeis a lo que os arriesgais.

En resumen: ninguno es más seguro que otro. Ambos pueden ser hackeados antes o después.

La diferencia entre un sistema seguro y otro vulnerable no viene por la plataforma empleada, si no por un servidor bien configurado, unas aplicaciones correctamente desarrolladas… y un administrador de sistemas que lo mantenga al día.

¿Puedo atacar mi propio servidor?

Depende de donde esté el servidor.

Para hacer pruebas, tengo un servidor en la oficina, dentro de mi red, y no accesible desde el exterior. Si ese es vuestro caso, podeis hacer lo que querais con él: es vuestro y no afectais a nadie más.

Si en cambio teneis un hosting, la cosa cambia mucho.

En primer lugar, si es un servidor virtual, al atacarlo estareis haciéndolo también a los demás que compartan máquina con vosotros. Eso es un delito.

Si teneis un servidor alquilado en un hosting, recordad algo: no es vuestro. Es como si condujerais un coche de alquiler a 200km/h pensado que ese día es vuestro y no le pasará nada al que os lo alquiló.
Le estareis provocando un daño porque, aunque la multa la pagueis vosotros, le habeis provocado una carga extra de trabajo al buscar quien alquiló el coche ese día, cuales son sus datos de cliente, las gestiones de tráfico, trámites legales…
De nuevo, es un delito.

Sólo suponiendo que tengais un servidor propio o alquilado, con una IP única para vosotros, y que conteis con el permiso por escrito del proveedor de servicios, podreis hacerlo.

Y creedme: el permiso no os lo van a dar nunca, salvo que seais una empresa MUY grande.

Mejor probadlo en vuestra red, y cuando lo tengais verificado lo llevais al proveedor de housing.

¿Cómo puedo empezar a trabajar como White Hacker?

Lo primero es formaros. Es algo que os llevará mucho tiempo si lo haceis por vuestra cuenta, y bastante dinero si acudís a una academia (existen, son tremendamente caras, pero al menos tendreis título oficial).

A partir de ahí, participad en retos de Hacking y Análisis Forense.
No importa tanto ganar, cómo hacer un buen trabajo con el cual consigais referencias.

El resto, como todo: enviad currículums a empresas, acudid a eventos de seguridad,…

¿Donde puedo aprender técnicas de Hacking?

Como os dije antes, hay Centros de Formación que imparten cursos (no trabajo en ninguno de ellos, y como no me pagan por hacerles publicidad…)
No es una mala idea invertir en ellos, ya que podeis optar a realizar un examen con el que podreis conseguir una Certificación Oficial.
Pero son caros, os lo advierto.

La otra opción, San Google. Encontraréis muchos sitios, y en ellos bastante basura. Pero en todos hay cosas interesantes para leer. No desprecieis nada, por simple que parezca.

¿En que se basa la relación de un White Hacker con sus clientes?

En la confianza. No hay otra respuesta.

No espereis llamar a la puerta de un cliente diciendo “Hola, soy Hacker ético y ofrezco mis servicios para probar la seguridad de sus sistemas” y que os contraten. Lo más probable es que llamen a Seguridad y os acompañen muy amablemente a la puerta.

Aqui funcionan dos cosas: el boca a boca, y vuestro prestigio. Tendreis que comenzar por lo primero e ir consiguiendo referencias.

¿Qué sistema operativo utilizas?

TODOS.

Si nos planteamos un “entorno europeo”, podríamos decir con mucha seguridad que más del 95% de las plataformas son relativamente recientes (XP, Vista, 7, Leopard, Ubuntu 9/10,…)

Pero si somos un poco conscientes de la realidad, estamos en un mundo en el que no todos tienen las mismas oportunidades de conseguir la última tecnología.

¿Podeis imaginaros a alguien en una aldea perdida en el último rincón del mundo, con un portatil de hace 10 años y un simple modem de 33,6K ? Pues eso existe.

Y os aseguro que muchos ataques vienen de lugares así, con personas de escasos recursos técnicos, pero con una capacidad intelectual y habilidades asombrosas.

A todos los interesados, nos vemos el Miércoles 9 de Marzo a las 18:30 en el salón de actos de la Facultad de Matemáticas de la Universidad de Sevilla.

Adrian Lamo, hijo de padre Colombiano y madre Estadounidense, vino al mundo en Boston en 1981, y pasó su infancia en Arlington y Bogotá hasta que finalmente su familia se asentó en la costa oeste de Estados Unidos: San Francisco. Adrian tenía 12 años, y fue en esa ciudad donde terminó su formación.

Terminó sus estudios primarios con un año de adelanto, deseando comenzar a trabajar en lo que más le gustaba ¿Informática? No… ¡Periodismo!

Pues si, tenemos un caso en el cual no hubo una atracción inmediata por la seguridad; pero como veremos más adelante, todo está relacionado.

Adrian ha colaborado y recibido varios premios gracias a sus publicaciones y fotografías en revistas como Red Mundial, Mobile Revista, Revista 2600, The American River actual, XY Magazine. Ha obtenido entrevistas con personajes como John Ashcroft, Oliver Stone, o los presuntos miembros del Frente de Liberación de la Tierra.

Pero todo empezó a torcerse cuando, en 2001, tuvo una sobredosis de anfetaminas que le había prescrito su médico.

A partir de este momento, sea por la razón que sea, comenzó a ver la luz su carrera de hacker.

En Febrero de 2002 consiguió acceder a la red interna del New York Times, para introducir su nombre en la base de datos y acceder a LexisNexis, una base de datos jurídica de pago, con el objetivo de usar la información para sus investigaciones.

El método que empleó para ello no fue muy elaborado, aunque si ingenioso y algo desconocido para el gran público. Habitualmente, las redes internas de las empresas se configuran desconectadas de internet, y el acceso a este sólo se puede ejecutar mediante el uso de servidores proxy. Sin embargo, cuando estos dispositivos se configuran incorrectamente, es posible acceder a la red interna de la empresa. Adrián Lamo usaba este error de configuración, utilizando una herramienta llamada ProxyHunter.

Obviamente, le detectaron, fue denunciado y se emitió una orden de busca y captura a su nombre el 15 de Agosto de 2003. Como recordareis de casos anteriores, en Estados Unidos el hacking es un delito federal que persigue el FBI.

Desde esa fecha, Adrian estuvo huyendo de las autoridades, hasta que el 9 de Septiembre decidió entregarse en las oficinas de los US Marshals en Sacramento, y se presentó voluntariamente en las oficinas del FBI en Nueva York el 11 de Septiembre.

En el juicio, fue declarado culpables del cargo de “Delito informático” contra Microsoft, Lexis-Nexis, The New York Times, Yahoo! y MCI WorldCom el 8 de Enero de 2004. Se le sentenció a 6 meses de arresto domiciliario en casa de sus padres, dos años de libertad condicional, y al pago de 65.000$ por los daños causados.

En sus alegaciones en el juicio declaró que:

“Sólo lo hice para hacer este delito más ‘glamouroso’ al público. Cualquier cosa que dijera en mi favor, o para eludir responsabilidades sobre lo que hice, sería peor de lo que los demás puedan decir al respecto”.

A partir de este momento, Adrian mantuvo una buena conducta, y gracias a la fama recibida por su caso y su peculiar estilo de vida y filosofía de trabajo se convirtió en un habitual de las revistas y conferencias de seguridad.

Y decimos “peculiar” porque Adrian suele conectarse a internet en bibliotecas, cafeterías o cualquier otro lugar público, vive vagando de costa a costa del país en trenes y autobuses, y duerme en casa de amigos, albergues para indigentes o edificios en obras de la ciudad en la que se encuentre.
Trabaja analizando y estudiando la seguridad de las empresas le llamen para ello o no (en ese caso, informa y acepta una “donación”), y en muchas ocasiones no cobra por ello. Él mismo define su estilo de vida de la forma siguiente:

“Tengo un portátil en Pittsburg, pero me cambio de ropa en Washington”

Sin embargo, no todo en su vida es tan bohemio y romántico como parece.

Adrian Lamo siempre declaró que donaba frecuentemente a Wikileaks, y presumía de ser uno de los que mantenían la web.

Sin embargo, en Junio de 2010, Adrian informó a la U.S. Army sobre un soldado, Bradley Manning, le había pasado información clasificada para su incorporación a los archivos de Wikileaks.

Manning le había pasado más de 10.000 páginas clasificadas del Gobierno de Estados Unidos, ademñas de diversos cables diplomáticos, incluyendo el “incidente” del 12 de Julio de 2007.

AVISO: Si eres sensible, mejor no lo veas.

Pinche aquí para ver el vídeo

Adrian puso como excusa a su acción que:

“No lo habría hecho si no hubiese vidas en peligro…
Manning se encontraba en una zona de guerra,  y básicamente intentaba conseguir tanta información clasificada como fuera posible, y divulgarla”

Con posterioridad a la denuncia, Adrian ofreció a Manning protección en base al secreto de confesión y la protección que los periodistas ofrecen a sus fuentes de información.

Manning la rechazó.

Poco después, según el diario Alemán Frankfurter Allgemeine Zeitung, un periodista de Forbes publicó información según la cual Adrian Lamo trabaja como especialista de seguridad en “Project Vigilant“, una empresa de seguridad privada que a su vez trabaja para el FBI y la NSA.

En la conferencia Hackers on Planet Earth 2010, la mayoría de hackers se referían a Adrian como “el soplón”, y en una de las mesas redondas uno de los participantes le espetó:

“Desde mi punto de vista, lo que has hecho se llama traición”.

Y es que el caso de McKinnon tiene, al menos, cierto interés desde el punto de vista del Derecho Internacional.

Comencemos a analizar la biografía de este personaje, y las implicaciones de sus acciones.

Gary McKinnon, nacido en Glasgow en 1966, tuvo una vida de lo más normal hasta que dejó la escuela en 1983 para trabajar como peluquero. Pocos años antes, habían comenzado a aparecer en el mercado los primeros ordenadores personales (los PET de Commodore, por ejemplo), McKinnon comenzó a estudiar informática de forma autodidacta.

Algún tiempo después, gracias a los ahorros de su trabajo, McKinnon hizo varios cursos que le permitieron obtener el título de Administrador de Sistemas.

Sin embargo, había algo que atraía la atención mucho más que la informática: los OVNIs. Estaba convencido de que mucha información sobre esta materia se encontraba restringida al público. Según sus propias palabras, su meta era:

“Buscar evidencias de la existencia de OVNIs y probar que el gobierno estadounidense posee tecnología antigravitatoria. Esta tecnología permanece oculta ya que al gobierno norteamericano no les interesa que se pueda producir energía libremente.”

En el año 2001 se dieron las circunstancias propicias para los acontecimientos posteriores:
McKinnon se encontraba en paro desde hacía algún tiempo tras renunciar a su trabajo en Corporate Business Technology por resultarle aburrido, y Windows 2000 era el sistema de moda.
Y no nos engañemos, Windows 2000 era, y es, un gran sistema, muy bien implementado (al Cesar lo que es del Cesar), pero como cualquier desarrollo tenía sus bugs.

Concretamente, había uno bastante curioso y fácil de solucionar que dió bastantes quebraderos de cabeza a los administradores de sistemas algo… indolentes.
Al instalar el sistema operativo, muchas veces se dejaba la password de Administrador en blanco por pura comodidad. Posteriormente se cambiaba y fin del problema.
El “error” venía cuando alguien configuraba el equipo dentro de un Dominio: el usuario Administrador usado en la instalación permanecía en el sistema con su contraseña en blanco, y por tanto había que eliminar la cuenta o al menos cambiar la contraseña.

Por desconocimiento, despiste, o pura y simple pereza, muchos sistemas no habían recibido esa corrección por parte de sus responsables.

Así que McKinnon, convencido de esa conspiración para ocultar información OVNI, y conociendo el fallo, desarrolló un simple script en Perl que intentaba conectarse a otros ordenadores usando la cuenta de Administrador y el password en blanco.

Anteriormente, ya había realizado otros ataques contra sistemas, y era conocido con el alias de “Solo”. Pero hizo algo tremendamente estúpido que sería su perdición:  decidió que su objetivo serían los sistemas de la NASA, el Ejército, la Marina, el Departamento de Defensa y la Fuerza Aérea estadounidense… y lo haría desde su propia casa en el Londinense distrito de Wood Green (si hubiese llamado por teléfono para avisar, habría sido igual de fácil capturarle).

Lanzó el script, y poco a poco la lista de blancos vulnerables se fue ampliando. Con esto, y otras habilidades, consiguió penetrar en el mismísimo corazón del Pentágono.

Esto no habría pasado a mayores si en lugar de limitarse a curiosear por los sistemas, algo ilegal pero que en caso de ser detectado no es tan grave como lo que hizo a continuación, no se hubiera  dedicado a robar contraseñas para acceder a otros sistemas, eliminar 1.300 cuentas de usuario y dejar la red informática de Defensa fuera de servicio durante una semana.

“Solo” fue detenido por la National Hi-Tech Crime Unit en Mayo de 2002 en su propio domicilio. Parecía no preocuparle mucho, ya que la pena establecida en el Reino Unido era de un máximo de cuatro años de prisión, y probablemente saldría antes por buen comportamiento en régimen de libertad condicional y el pago de una multa.

Sin embargo, EEUU decidió presentar cargos contra él por daños valorados en más de 1.220.000 dólares. Apoyándose en los acuerdos con el Reino Unido y la Patriot Act, se pidió la extradición de McKinnon para ser juzgado por delitos de terrorismo. En caso de prosperar, podría ser condenado a una pena de 70 años de cárcel (10 años por cada uno de los 7 delitos de los que se le acusaba), y pasaría el resto de su vida en prisión.

El proceso de extradición comenzó en 2003, basándose en la Extradiction Act de 2003 según la cual EEUU no tiene que presentar pruebas de los delitos ante los tribunales del Reino Unido. Hasta el 2005 McKinnon permaneció en libertad, con prohibición de acceder a Internet.

El 16 de Junio de 2008, viendo que estaba a punto de ser deportado, se presentó un alegato ante la Cámara de los Lores argumentando que la oferta del Fiscal estadounidense reduciendo la petición de 70 años sin posibilidad de repatriación a menos de 4, siempre que aceptase pagar una indemnización por los daños causados, no estaba contemplada en la legislación británica.

La Cámara de los Lores rechazó este argumento.

Tras este revés, McKinnon apeló a la European Court of Human Rights, la cual decidió en Enero de 2009 revisar el caso, que perdió en Julio del mismo año. Posteriormente se inició una tercera apelación basándose en causas médicas. McKinnon sufre de Síndrome de Asperger, y basa su defensa en que la extradición le supondría un stress adicional que agravaría su estado al alejarle de su entorno, familia y cuidados médicos necesarios.

Recientemente, el 20 de Julio de 2010 Tom Bradby, periodista de la ITN, informó que durante una conferencia de prensa el Presidente Barack Obama y el Primer Ministro David Cameron habían estado discutiendo el caso y se estaban trabajando en “una solución adecuada”.

A fecha de hoy, la extradición sigue sin ejecutarse.

Un aspecto fundamental en cualquier operación militar, son las comunicaciones. Conseguir transmitir órdenes a otras personas o grupos del mismo bando, evitando a su vez que sean interceptadas por el enemigo resulta tan crucial como los suministros médicos, el avituallamiento, la munición o la propia estrategia a seguir.

No es algo precisamente reciente. Desde la antiguedad codificar los mensajes permitía una garantía adicional al impedir o dificultar conocer su contenido,aunque este fuera interceptado. Así Julio César creó el cifrado que lleva su nombre, que sigue siendo vigente incluso en la actualidad (que se lo pregunten a Bernardo Provenzano, el máximo dirigente de la Cosa Nostra Siciliana, detenido en 2006, y que lo empleaba utilizando para ello una máquina de escribir).

Pero en 1942, durante los combates que tenían lugar en el Pacífico en la Batalla de Guadalcanal, cuando las cosas se pusieron realmente difíciles para el bando Aliado, el concepto de cifrado cambió completamente.

En medio de las acciones militares que tenían lugar, no había tiempo para codificar los mensajes que se enviaban. Era, literalmente, cuestión de vida o muerte enviar y recibir las instrucciones precisas para eludir, atacar o apoyar cualquier movimiento de tropas.

Ante esta situación, las tropas aliadas utilizaban jerga y modismos que pudieran resultar difíciles de comprender a los soldados nipones, pero no tuvieron éxito.
Los japoneses comenzaron a emplear como personal de transmisiones a soldados con un dominio prácticamente perfecto del inglés, usando la misma jerga y con el acento exacto para enviar mensajes falsos a los Aliados, con el fin de alterar las órdenes y conducirlos hasta emboscadas o indicarles puntos de ataque en los que, en realidad, se encontraban soldados de su mismo bando.

Todo parecía ir bien para los Japoneses hasta que un día, en plena batalla de Saipan, los operadores de radio escucharon unas transmisiones en un idioma que no habían oido jamás.

Ese mismo año de 1942, el sargento Philip Johnston, tuvo una idea para crear un código que resultara indescifrable al enemigo. Su intención era emplear un doble paso de codificicación-descodificación del mensaje, que resultase muy ágil y a su vez difícil de descifrar.

El mecanismo era simple: tomaría las órdenes, las pasaría en clave y un operador de radio Navajo sería quien las transmitiera. La complejidad del idioma Navajo sería de gran ayuda para esto.

No obstante, el Navajo no fue su primera opción. Se barajaron varias alternativas antes de esta, ya que a pesar de ser una de las poblaciones más numerosas, los Navajos tenían uno de los índices de alfabetización más bajos. El factor fundamental que inclinó la balanza fue que en las décadas anteriores otras tribus habían recibido visitas de filólogos y estudiantes europeos (alemanes sobre todo), y sus idiomas habían sido más o menos estudiados. En cambio, apenas unos pocos misioneros tenían conocimientos de esta lengua, y eran muy limitados.

Pero existía otro problema, y no parecía precisamente fácil de resolver.

En aquella época el racismo en Estados Unidos era moneda común entre la población blanca. En las reservas donde estaban recluidos los Navajos, las condiciones de vida eran infrahumanas: sin electricidad, agua potable, saneamiento, infraestructuras…

Además los Navajo no olvidaban que apenas 80 años antes, en 1864, Kit Carson los condujo a través de 560 kilómetros por Nuevo México, como si fueran ganado, hasta las reservas.
Para empeorar las cosas, en ese mismo año de 1942, el presidente Roosevelt ordenó reducir la población de ovejas en las reservas Navajas para reducir la erosión de la tierra, con lo que de un plumazo había terminado con los pocos medios de sustento a este pueblo.

A pesar de todo esto, más de 40.000 Navajos se alistaron en el ejército, y algo más de 400 fueron seleccionados para una nueva misión: convertirse en los primeros Code Talkers.

Ya sólo faltaba definir con precisión el código.

Para ello, emplearon una doble vertiente: algunas palabras o expresiones del Navajo se utilizarían par definir rangos militares, cuerpos o departamentos.

De esta forma, Así-un-la-ih (“una estrella”) se refería a un General de Brigada, Cha-le-gai (“las gorras blancas”) indicaba que se trataba de alguien de la marina, o Tashi-na-hal (“lluvia del pavo”) significaba “terreno”.

Para los códigos fonéticos militares, lo que siempre hemos escuchado como “Alpha”, “Bravo”, “Charlie”, se optó por utilizar tres palabras inglesas con la misma inicial, más su correspondiente traducción al Navajo. De esta forma, para la “A” se seleccionaron Ant, Apple y Axe, que en Navajo se traducen como Wolachi, Belasana y Tsenil.
Para la “B” se decidió usar Badger, Bear y Barrel, que se transformarían en Najash-Chid, Shosh y Toisho-Lle.

Los navajos en la campaña del Pacífico transmitían las órdenes en su idioma, añadiendo la dificultad de 500 palabras clave que inventaron para definir objetos que no estaban en su idioma, y los escuchas japoneses nunca supieron que no estaban ante un código cifrado sino ante una lengua viva. Cada navajo llevaba un marine de escolta que no le abandonaba bajo ninguna circusntancia… con la orden de matar a su compañero navajo ante la mínima posibilidad de que fuera capturado.

Además de esto, y con el propósito de proteger el código, jamás se entregaron las cartas que los navajos enviaban a sus casa. Un navajo sobreviviente lo recuerda con amargura: “Mi madre no supo si estaba vivo o muerto hasta que regresé a casa”.

Al finalizar la contienda, 6 Code Talkers habían caido en el frente y regresaron a sus tierras sin ninguna mención honorífica. El código nunca volvió a utilizarse en acciones militares y ellos jamás comentaron nada relacionado con su trabajo. Si alguien preguntaba, símplemente respondían que fueron operadores de radio.

___________________________________________________________________________

http://www.1y2gm.com/espionaje-f67/codigo-navajo-en-la-ii-guerra-mundial-t897.htm

http://www.exordio.com/1939-1945/codex/vsoldado/code-talkers.html

http://www.mundosgm.com/smf/index.php?topic=2317.0

http://es.wikipedia.org/wiki/Archivo:Navajo_hunters_outside_Sam_Days_Trading_Post_year_1887.jpg

http://en.wikipedia.org/wiki/File:Comanche_codebook_2.jpg

http://en.wikipedia.org/wiki/File:Navajo_Code_Talkers.jpg

http://en.wikipedia.org/wiki/File:Navajo_Code_Talker_Monument.JPG