Què significa realment 'hacker'

Gràcies a Guillermo per suggerir el tema per aquest post, és una cosa que si bé jo tinc la sort de viure, no sé si s'haurà escrit a l'respecte aquí en el passat, però de tota manera tornaré a treure-ho a la llum per poder compartir una mica amb vostès 🙂

L'art de ser hacker

Un dels llibres que més m'han cridat l'atenció sobre aquest tema és sense cap dubte Hacking: The Art of Exploitation, de Jon Erickson. És una joia per a tot aquell que vulgui submergir-se en aquest món dels veritables hackers. I tal com està al llibre, em permetré prendre la primer pregunta que va explotar la meva ment a l'hora de llegir-lo.  

L'essència d'un hacker

Usant cada un dels següents números 1,3,4 i 6 exactament un cop amb qualsevol de les operacions bàsiques (sumar, restar, multiplicar, dividir) aconseguir un total de 24. Cada número ha de ser usat només una vegada i l'ordre depèn de vostès. Per exemple:

3 * (4 + 6) + 1 = 31

Correcte en sintaxi, però incorrecte en resultat.

He d'admetre que jo no vaig poder resoldre el problema fins que vaig acabar de llegir el llibre i vaig veure la solució a l'última pàgina. Però bàsicament aquesta és l'essència d'un hacker, poder veure el que altres no veuen.

Els primers hackers

Un grup d'estudiants de l'MIT (Massachusetts Institute of Technology), a prop dels anys 50, va rebre un donatiu d'equips telefònics, amb aquestes peces, ells van desenvolupar un sistema que permetia gestionar la línia de comunicació a distància per mitjà de trucades especials. Ells van fer un descobriment usant la tecnologia que ja existia, però usant-la de formes que pocs o ningú havien vist fins llavors. Aquests van ser els primers hackers.

Una comunitat de suport

Avui dia hi ha molts exàmens de «certificació» per convertir-se en «hacker», però la realitat és que un no arribarà a ser un veritable hacker fins que un membre de la comunitat que ja ho sigui estigui d'acord en trucar-nos per aquest qualificatiu. Un dels camins per això és poder aportar alguna cosa útil a la comunitat. Molts hackers són en última instància programadors de baix nivell, Ja que coneixen de manera profunda com funcionen els equips, a nivell de memòria i sistema operatiu; els bits en última instància.

Aquest coneixement els permet trobar vulnerabilitats

Això és com quan aprenem per primera vegada matemàtiques, quan érem nens, necessitàvem d'algú que ens expliqui i ensenyi els símbols i les formes, i això succeeix en certa manera amb els programadors també, un veritable hacker és aquell que coneix aquests símbols i formes , i ens assenyala quan veu que hem fallat a l'usar-los (una vulnerabilitat). I com el mateix Linus Torvalds (un altre gran hacker, en el sentit real de la paraula) les «vulnerabilitats» són només errors. Amb això referint-se a que no són més que errors de programació, encara que potser amb un altre tipus de conseqüències als errors més comuns.

Els hackers NO necessàriament són delinqüents

Això és cert fins a cert punt, anem a pensar-ho per un moment. Quan un veritable hacker vol coneixer alguna cosa, aquest posa a prova fins al més mínim detall de el sistema, amb tots els seus coneixements li és possible esquivar, o evitar controls d'accés, o modificar ordres per realitzar altres tasques, o fins i tot convertir el programa en una altra cosa. Però, d'on neix això?

Motivacions d'un hacker

Aquestes poden anar en un gran ventall de possibilitats, alguns (la majoria dels veritables hackers) descobreixen el que descobreixen per un simple plaer intel·lectual, gaudeixen el desafiament de trobar aquests 'buits'. Altres ho fan per ego, ja que desitgen poder dir que són els millors en alguna cosa. Però és innegable que algun o molts d'ells també hi seran pels diners, ja que controlar coses que són incontrolables per a la majoria de persones és certament una eina que pot produir molts diners. És aquest el motiu pel qual podem dir que els hackers no necessàriament són dolents, però ull amb el necessàriament.

Un altre motiu important és que els hackers reals desconfien de la tecnologia que fem servir tots. Això és així perquè en el seu coneixement profund de sistemes, coneixen les limitacions i buits o vulnerabilitats. És aquest coneixement en última instància el que els permet «sobrepassar» sistemes per poder complir amb alguna de les seves altres motivacions (intel·lectual, econòmica, etc.).

3 tipus de hacker avui en dia

Ara per ara podem trobar 3 coneguts grups de hackers, distingits de manera curiosa pel tipus de barret que fan servir: blanc, negre grey hat. En poques paraules i amb una analogia que ja hem tocat amb anterioritat, trobem que els blancs són els bons, els negres són els dolents i els grisos estan en un punt mitjà en el que fan servir les seves habilitats per ser o bons o dolents, depenent de la situació. Però hi ha un últim terme, molt més utilitzat en cercles de hackers reals.

Script-kiddie

Què és un script-kiddie? Com el seu nom ho diu, és un «nen» a la vista dels veritables hackers que només fa servir scripts per al seu benefici. I aquí cal fer una distinció molt gran,

Estar certificat en seguretat informàtica NO et fa necessàriament un hacker.

I aquest és un punt de vista personal, així com un hackers  pot no tenir certificacions i seguir sent un gran hacker. Però anem a veure per què dic això. Molts exàmens de certificació / cursos / etc t'ensenyen els passos d'un pentesting reeixit, t'ensenyen la teoria de tipus de vulnerabilitat, et introdueixen en el món de la seguretat informàtica com si fossis versat en el tema. Però la realitat és que fins que no facis una aportació substancial a la comunitat hackers, Això vol dir, fins que no creus una eina que demostri ser útil per als hackers, no ets un. Així de simple i senzill.

No importa què tan bé puguis fer servir nmap, o zen, o fins i tot Metasploit, mentre no siguis capaç d'aportar un exploit real, o una eina de reconeixement real, NO ets un hacker, només un script-kiddie, i no importa que tinguis N certificacions en seguretat, això no ho canviarà.

Els hackers fan d'aquest un món millor

Gràcies a ells és que tenim tecnologia en continu moviment. El nucli és un gran exemple d'això, són centenars de ments molt versades en el tema, que creen codi que serveix no només a la comunitat hacker, sinó a tot el món. Però no només això, si no fos per ells, la tecnologia s'estancaria en punts on la gent no voldria seguir desenvolupant, això perquè a l'trobar vulnerabilitats, els hackers ajuden a motivar els desenvolupadors a escriure millor codi, i al seu torn, aquest millor codi motiva els hackers a demostrar que són encara millors, generant un cercle virtuós en el medi.

reflexió final

Bé, ja vaig a tallar, així sense més, perquè he vist que m'estic estenent i encara que m'agradaria explicar una mica sobre com trobar un exploit, això haurà de ser per a una altra ocasió. Jo personalment em considero un 'script-kiddie' encara, ja que si bé he trobat una que una altra vulnerabilitat per aquí i fins i tot he pogut assignar CVEs a aquestes, encara no he creat el meu propi exploit o eina per posar a disposició de la comunitat, però espero que això canviï en poc temps 😉 Sense més que afegir, moltes gràcies pel seu temps, salutacions.


28 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Mercat va dir

    No hi ha dubte que no ets un blogger comú, saps a profunditat del que parles.
    Espero que arribis a ser un gran Hacker, però no deixis de compartir aquests meravellosos posts.

    1.    ChrisADR va dir

      Moltes gràcies Mart per tan amable comentari 🙂 doncs aquesta és la idea, construir un món millor i més segur. Vull escriure un petit post sobre com funcionen realment els gestes, però estic tenint un que un altre problemin amb el meu Shutter, ja aviat veuré com arreglar 🙂 salutacions

  2.   Juan Jose Muñoz Ortega va dir

    Un hacker no és un delinqüent som apacionados de el coneixement és algú que gaudeix i gaudeix el veure un codi desetreñarlo i saber com funciona jo des que estic en el món de la informàtica des que sóc desenvolupador sempre he sdo un curiós i gràcies a internet ara tinc més accesso a informacion a la qual només podia accesar quan vaig començar en llibres excel·lent aportació

    1.    ChrisADR va dir

      Molt cert Juan José,

      Jo seria meravellosament feliç de poder dedicar-me a la recerca en el futur, és una llàstima que aquest camp estigui tan poc desenvolupat al Perú, però amb una mica de sort ja trobaré alguna cosa semblant quan acabi els meus estudis l'any que 🙂

      Salutacions

  3.   Mike MM va dir

    Em pots ajudar a instal·lar Subterfuge ???

    1.    ChrisADR va dir

      Hola Mike,

      no he tingut oportunitat de provar-ho, jo vaig una mica més a el codi que a transports, encara no he entrat en aquest camp. Però pel que he pogut investigar hi ha hagut uns quants problemes amb la migració de python2 a python3, una bona manera de practicar seria llegir l'script de isntalación i veure què pot estar fallant, salutacions 🙂

  4.   hack-el-hardiner va dir

    aquesta informació és mes que semblant igual a la que surt a cisco security-essential ... ja no sé qui és el real autor d'aquest enunciat ..!

    1.    ChrisADR va dir

      Hola hack

      Podries donar-me una mica més d'informació? No estic segur de a quina informació 🙂 però segur hi ha una explicació més que raonable.

      Salutacions

  5.   Conrad va dir

    Avui dia ser hacker vol dir ser una celebritat amb molta fama i diners, promocionar-se i publicitar-se en xarxes socials, exposar-se públicament a Internet, monopolitzar el coneixement privant dels drets que defensen la seva llibertat i utilitzar plataformes i sistemes que no són 100% de codi lliure. Si compleixen amb aquestes característiques ja poden ser hackers, o en cas contrari són vistos com a criminals per protegir i defensar la seva privacitat.

  6.   Kra va dir

    Per a mi el terme «Hacker» es va convertir en en un insuportable clixé, jo prefereixo el terme de pentester o simplement aficionat a la seguretat informàtica.

    Sobre el que comentes d'aportar a la comunitat, em parese una qüestió més d'ego o simplement sigui el típic moralfag tractant d'obtenir una bona reputació, jo tinc a uns bons amics que mai comparteixen les seves vulnerabilitats ni les seves eines que creen i puc dir amb suma certesa que són uns dels millors «Hackers» que conec.
    D'altra banda no importa que publiquis una bona toolkit per explotar qualsevol vulnerabilitat, si no ets conegut el més probable és que es recombine i publiqui per un grup mes gran, als entesos sobre el tema els sonés el cas de l'ZZAZZ-fòrum i el seu preciós SDBS que encara que són mitjanament coneguts aquest va ser diluït entre Metasploit, Nmap i entre altres grups d'eines i a l'ésser anònim no se li atorga reconeixement als autors, simplement a un àlies, que fins a un lammer es pot posar en el seu compte per «hackejar a Facebook ».

    Per la meva part jo prefereixo publicar els meus «troballes» només en cas que hi hagi un error bounty, que paguin decentment i aquests ja no siguin útils si no és així prefereixo guardarmelos, respecte als meus scripts no té cas publicar-los perquè és una horrible embolic palpitant de codi mal escrit, que encara que funcioni bé, com jo només m'entenc a mi mateix, sóc l'únic que ho fa funcionar de manera correcta.

    El terme «Hacker» ja està molt gastat.

    1.    Gonzalo va dir

      Estic d'acord. La comunitat no existeix ni és tan útil com es diu, o com era a principi dels 90.

      Avui en dia el programari lliure no el mou la comunitat, el mouen les grans empreses. Darrera de cada gran projecte de programari lliure estan Red Hat, estava Novell, aquesta Microsoft, aquesta IBM, aquesta Oracle, o aquesta alguna corporacion que els serveixi com rèdit, no perquè vulguin compartir les seves hores de treball.

      A més, el programari canvi molt, la realitat d'IT canvi molt, en aquests projectes no és possible gairebé que jo em sent al sillon de casa meva, i per mes guru de C que pugui ser, amb la mida i complexitat d'un programari com CloudStack, KVM o PostgreSQL no puc fer més que contemplar-lo i estudiar-lo, dista molt de modificar-lo de dalt a baix i adaptar-lo 100% a la meva necessitat puntual.

      Les èpoques que el emuje de programari lliure el donava un programador al galpon de casa terme fa mes de 20 anys, a la vista aquesta, quants anys portem esperant que Hurd tregui una versió realment estable i usable? O com demoro a sortir a la llum el famós debian sense systemd, i que tan usat és realment?

      L'únic que aquesta desenvolupat gairebé a ple per la comunitat són alguns entorns gràfics, com KDE, o eines simples com algun comandament puntual, o alguna cosa esotèrica des de la terminal que des entorn gràfic es pot fer sense problema, però és en el 99,99, 13% de l'usuari de linux professional no li interessa. Jo sóc usuari de Linux fa gairebé 5 anys, però fa XNUMX que deixi de lluitar amb tenir linux en el meu terminal, afecta la productivitat enormement. Prefereixo no pereder aquest temps, fer servir Windows o Mac i aquest temps perdut usar-lo per al meu treball

      Amb els hackers passa el mateix. Aquesta aura mística que envolta els hackers es va acabar, i això que «els hackers no són dolents» és mentida. La majoria ho fa per diners, no ho fan per filantropia de trobar errors i ajudar a el món, ni tampoc ho fan per hobby. Si els paguen per trobar vulnerabilitat en un sistema intern, o per fer merda a una empresa de la competència, ho van a fer sense pestañar. Això de la bondat i la noblesa també acabo en els 90.

      1.    ChrisADR va dir

        Hola Gonzalo, gràcies per compartir

        Entenc fins a cert punt el teu malestar respecte a la comunitat, per començar perquè aquí a llatí amèrica, és gairebé inexistent (comparat amb altres llocs és clar). Però m'agradaria recalcar un parell de temes. Primer, si bé avui dia moltes empreses han posat els seus ulls en el codi obert (no programari lliure si us plau) això no dictamina que tinguin safata de plata en el seu codi ni res per l'estil ... a el menys des del punt de vista de l'nucli i git he pogut veure com independentment del tan gran sigui la teva empresa, si el codi que es produeix no és bo, no entra ... així de simple. I si ho pensem una mica, com no entraran aquestes empreses si precisament el codi és de qualitat, i ha estat forjat per comunitats amb temps i dedicació. I perquè els agrada el tema, i s'han tornat experts amb el temps. El que ens porta també a el fet que les millors empreses a el mateix temps contracten als millors experts, de manera que ells poden treballar fent el que els agrada.

        I cert, la quantitat de codi produït avui en dia és tan gran que difícilment podria un escriure tot des de zero ... però francament, ni per ser el major guru de C de la planeta jo m'atreviria a escriure alguna cosa totalment des de zero: primer perquè no em aconseguiria la vida per igualar la qualitat de l'altre treball, segon perquè hauria de tenir l'ego molt inflat per creure millor que totes aquestes ments brillants que també es dediquen a generar codi de qualitat i revisar-lo i provar-lo i depurar-lo. I si vols afegir una necessitat puntual, jo crec que no he conegut un projecte lliure o open que et negui la iniciativa ... clar, si escrius malament codi o desitges imposar canvis totalment radicals que podrien trencar moltes coses abans que agregar-les ... és evident que aquest canvi no va a «procedir», però precisament aquesta qualitat en els primers passos és la que els ha fet grans en primer lloc ...

        Si ja has deixat de fer servir Linux des de fa 5 anys, ja que no hauries de considerar-te XNUMX 🙂 així de simple. El que tu anomenes «temps perdut», jo ho anomenaria «usuari perdut», però per posar un exemple, si jo fos un guru en C i m'agradés GNU Linux o qualsevol projecte, en lloc d'esperar que altres facin la feina per mi , em posaria a afegir aquelles línies que tant desitjo veure en el meu programa perquè «funcioni» correctament. I jo conec diverses persones que treballen seu temps «lliure» a fer millors aquests programes, en tenir-ne cura i investigar-los ... però suposo que això ja és de cadascú 🙂

        I pel que fa al fet que els hackers són dolents, doncs partim de l'grups esmentats, que els hackers només es dediquen a trobar vulnerabilitats ... si no fos per grans hackers com Ken Thompson, Dennis Ritchie, Richard Stallman, Linus Torvalds, Edwin Catmull ... la llista podria seguir i seguir, però si no els sonen cap d'aquests noms, és perquè realment no han entès el que és un hacker en essència ... només s'enganxen a l' «estereotip» que tan poc els agrada ... i si creus que la noblesa va acabar en els 90, ja que lament què et caldrà colpejat tan dur en la vida, però dejame dir-te que encara hi ha gent treballant per fer d'aquest món una mica una mica menys pitjor, en lloc de simplement evitar el treball i anar per la salitat que evita « perdre aquest temps »...

        salutacions i gràcies per comentar,

    2.    ChrisADR va dir

      Hola Kra, gràcies per compartir, entenc el teu punt de vista i només voldria donar un parell d'opinions personals respecte a això. Pentester i hacker són coses totalment diferents, i si pensem que un hacker només es dedica a trobar vulnerabilitats, perquè ja des d'aquest moment vam començar malament ... això com a primer punt, el segon és similar, ja que hi ha molta gent molt hàbil, que encara que els seus noms no estiguin escrits en lletres d'or en les millors revistes de l'món (això sí seria simple qüestió d'ego) dediquen gran part del seu dia a projectes d'aquest tipus. I ho fan perquè gaudeixen fer-ho, sinó jo no trobaria motiu suficient per veure'ls treballar un diumenge a la nit, o donar-se uns minuts a el dia després d'un dia laboral ...

      I en última instància, i això també és opinió bastant personal, a la fin es tractarà de el llegat que deixis a el món amb els teus «troballes» ... sí, moltes grans ments fan del programari el que és, algunes reconegudes, d'altres no tant, però això ja depèn de cadascú ... jo he compartit scripts i codi en molts llocs, i m'he sorprès el veure quants errors tenia, i quantes oportunitats de millorar eficiència, mida, productivitat, lògica, etc ... i potser això és una cosa que al meu personalment m'agrada fer i molt meu, però així com hi ha persones que ho fan només per ego i diners, existim alguns que ho fem perquè simplement ens agrada 🙂 sinó molt fàcil seria per a mi cobrar per cada un d'aquests post, on segurament no dic res de nou, però he vist gent que cobra més per una quantitat de contingut encara més simple de la qual jo puc compartir en aquestes línies.

  7.   Ricardo Rios va dir

    Brillant !!! Et segueixo sempre ... no paris fins al cim !!!

    1.    ChrisADR va dir

      Moltes gràcies Ricardo 🙂 m'anima molt a seguir compartint cada vegada que pugui 😉 Salutacions

  8.   MarkVR va dir

    Segons la Tesi Zuse-Fredkin, «l'univers és un autòmat cel·lular» és a dir una Maquina Universal de Turing, ja que en ell es duen a terme processos equivalents a una Màquina Universal de Turing (com maquines digitals programables - ordinadors). És a dir, grosso modo, l'univers és capaç d'emular qualsevol màquina i això el converteix en una gegantina màquina. Ara bé. Si un científic o enginyer creen o descobreixen noves funcions o solucions dins de l'univers, i considerant que computacionalment parlant, aquest és equivalent (o més però això no ho sabem) a una Màquina Universal de Turing: ¿els enginyers, científics, etc. són hackers ?.

    1.    ChrisADR va dir

      Hola Mark 🙂 doncs el joc de la vida és un tema molt interessant, jo he tingut l'oportunitat de llegir una mica a l'respecte i a el mateix temps un cop el vaig programar per veure com s'expandia en un petit tauler d'uns quants centenars de píxels. Però anem al tema, la principal diferència entre un automat cel·lular i la computació general és que l'automat cel·lular compta amb regles definides i prescrites, aquestes es presenten de manera simple en el programa, però reflecteixen una realitat molt més gran i més complexa.

      Cal esmentar que ni els científics ni els enginyers creen lleis naturals (els estatuts que regirien a un automat cel·lular) ja que aquests són una barreja de factors visibles i altres (més importants fins i tot) invisibles. Descobrir (en el sentit de develar) una nova llei en l'univers és un acte lloable, i que en certa mesura implica poder veure el que altres no veuen, com hem comentat en l'essència mateixa de el text, però cal ressaltar una petita i subtil diferència que pot ajudar a aclarir termes. Els hackers «creen» en el sentit de poder generar noves regles computacionals, basades en principis matemàtics definits ja coneguts. Els científics «descobreixen» aquests principis matemàtics / físics / etc.

      Fent aquestes lleugeres excepcions podem veure que en un sentit una mica més profund del tema, tots dos vindrien a considerar hackers en el sentit real de la paraula 🙂 ja que veuen coses que altres donen per òbvies, i descobreixen coses que escapen a la vista general.

      Molt interessant tema 🙂 potser es pugui escriure una mica a l'respecte, encara que això escapa una mica a el món Linux per anar una mica més a la Física i Matemàtica teòrica 🙂 Salutacions i gràcies per compartir

      1.    MarkVR va dir

        Gràcies a tu per la resposta.

  9.   01101001b va dir

    (14-6) x3 = 24 ¿? Era així la cosa?

    1.    ChrisADR va dir

      14 no compta 🙂 han de ser exactament els números 1,3,4 i 6 🙂 o sigui 1 x 4 - 6 + 3, però no 63/14 o alguna cosa per l'estil. Si vols la resposta m'avises 🙂 però deixaré oportunitat a seguir intentant

    2.    Cessar Rada va dir

      possible resultat

      6 / (1 - 3/4) = 24

  10.   López va dir

    Em va costar 3 dies però aquí està:
    6 ÷ 1-34 = 24

    6 / (1 - 3/4) = 24

  11.   Mambell va dir

    Amic el llibre que vas recomanar aquesta en engonals res més oi ?.

    1.    ChrisADR va dir

      Hola Mambell,

      Jo el vaig llegir en anglès, però no sabria dir-te si està traduït a l'espanyol en algun lloc, sort de tota manera amb això, Salutacions

  12.   01000011 01011001 01000010 01000101 va dir

    3*(6+1)+4=24

    1.    ChrisADR va dir

      21 + 4 és 25 😛

  13.   Tecprog World va dir

    Molt bo l'entrada, sinó m'equivoco la paraula hacker a estat deformat en el temps a través dels mitjans de comunicació que els pinten com «dolents»; és a dir són persones curiosos amb un coneixement profund en temes molt específics; d'alguna manera ho relaciono com que els hacker són igual als white hat i els cracker els black hat. 🙂

  14.   mvr1981 va dir

    És necessari aportar només a nivell de programari o pot ser també a nivell de maquinari? Algú amb un nou invent pot ser considerat hacker per la comunitat?