Gràcies a Guillem per suggerir el tema per a aquest post, és una cosa que si bé jo tinc la sort de viure, no sé si s'haurà escrit sobre això aquí en el passat, però de totes maneres tornaré a treure'l a la llum per poder compartir un poc amb vosaltres
L'art de ser hacker
Un dels llibres que més m'han cridat l'atenció sobre aquest tema és sense cap dubte Hacking: The Art of Exploitation, de Jon Erickson. És una joia per a tot aquell que vulgui submergir-se en aquest món dels veritables hackers. I tal com està al llibre, em permetré prendre la primer pregunta que va explotar la meva ment a l'hora de llegir-lo.
L'essència d'un hacker
Usant cada un dels següents números 1,3,4 i 6 exactament un cop amb qualsevol de les operacions bàsiques (sumar, restar, multiplicar, dividir) aconseguir un total de 24. Cada número ha de ser usat només una vegada i l'ordre depèn de vostès. Per exemple:
3 * (4 + 6) + 1 = 31
Correcte en sintaxi, però incorrecte en resultat.
He d'admetre que jo no vaig poder resoldre el problema fins que vaig acabar de llegir el llibre i vaig veure la solució a l'última pàgina. Però bàsicament aquesta és l'essència d'un hacker, poder veure el que altres no veuen.
Els primers hackers
Un grup d'estudiants de l'MIT (Massachusetts Institute of Technology), a prop dels anys 50, va rebre un donatiu d'equips telefònics, amb aquestes peces, ells van desenvolupar un sistema que permetia gestionar la línia de comunicació a distància per mitjà de trucades especials. Ells van fer un descobriment usant la tecnologia que ja existia, però usant-la de formes que pocs o ningú havien vist fins llavors. Aquests van ser els primers hackers.
Una comunitat de suport
Avui dia hi ha molts exàmens de «certificació» per convertir-se en «hacker», però la realitat és que un no arribarà a ser un veritable hacker fins que un membre de la comunitat que ja ho sigui estigui d'acord en trucar-nos per aquest qualificatiu. Un dels camins per això és poder aportar alguna cosa útil a la comunitat. Molts hackers són en última instància programadors de baix nivell, Ja que coneixen de manera profunda com funcionen els equips, a nivell de memòria i sistema operatiu; els bits en última instància.
Aquest coneixement els permet trobar vulnerabilitats
Això és com quan aprenem per primera vegada matemàtiques, quan érem nens, necessitàvem d'algú que ens expliqui i ensenyi els símbols i les formes, i això succeeix en certa manera amb els programadors també, un veritable hacker és aquell que coneix aquests símbols i formes , i ens assenyala quan veu que hem fallat a l'usar-los (una vulnerabilitat). I com el mateix Linus Torvalds (un altre gran hacker, en el sentit real de la paraula) les «vulnerabilitats» són només errors. Amb això referint-se a que no són més que errors de programació, encara que potser amb un altre tipus de conseqüències als errors més comuns.
Els hackers NO necessàriament són delinqüents
Això és cert fins a cert punt, anem a pensar-ho per un moment. Quan un veritable hacker vol coneixer alguna cosa, aquest posa a prova fins al més mínim detall de el sistema, amb tots els seus coneixements li és possible esquivar, o evitar controls d'accés, o modificar ordres per realitzar altres tasques, o fins i tot convertir el programa en una altra cosa. Però, d'on neix això?
Motivacions d'un hacker
Aquestes poden anar en un gran ventall de possibilitats, alguns (la majoria dels veritables hackers) descobreixen el que descobreixen per un simple plaer intel·lectual, gaudeixen el desafiament de trobar aquests 'buits'. Altres ho fan per ego, ja que desitgen poder dir que són els millors en alguna cosa. Però és innegable que algun o molts d'ells també hi seran pels diners, ja que controlar coses que són incontrolables per a la majoria de persones és certament una eina que pot produir molts diners. És aquest el motiu pel qual podem dir que els hackers no necessàriament són dolents, però ull amb el necessàriament.
Un altre motiu important és que els hackers reals desconfien de la tecnologia que fem servir tots. Això és així perquè en el seu coneixement profund de sistemes, coneixen les limitacions i buits o vulnerabilitats. És aquest coneixement en última instància el que els permet «sobrepassar» sistemes per poder complir amb alguna de les seves altres motivacions (intel·lectual, econòmica, etc.).
3 tipus de hacker avui en dia
Ara per ara podem trobar 3 coneguts grups de hackers, distingits de manera curiosa pel tipus de barret que fan servir: blanc, negre y grey hat. En poques paraules i amb una analogia que ja hem tocat amb anterioritat, trobem que els blancs són els bons, els negres són els dolents i els grisos estan en un punt mitjà en el que fan servir les seves habilitats per ser o bons o dolents, depenent de la situació. Però hi ha un últim terme, molt més utilitzat en cercles de hackers reals.
Script-kiddie
Què és un script-kiddie? Com el seu nom ho diu, és un «nen» a la vista dels veritables hackers que només fa servir scripts per al seu benefici. I aquí cal fer una distinció molt gran,
Estar certificat en seguretat informàtica NO et fa necessàriament un hacker.
I aquest és un punt de vista personal, així com un hackers pot no tenir certificacions i seguir sent un gran hacker. Però anem a veure per què dic això. Molts exàmens de certificació / cursos / etc t'ensenyen els passos d'un pentesting reeixit, t'ensenyen la teoria de tipus de vulnerabilitat, et introdueixen en el món de la seguretat informàtica com si fossis versat en el tema. Però la realitat és que fins que no facis una aportació substancial a la comunitat hackers, Això vol dir, fins que no creus una eina que demostri ser útil per als hackers, no ets un. Així de simple i senzill.
No importa què tan bé puguis fer servir nmap, o zen, o fins i tot Metasploit, mentre no siguis capaç d'aportar un exploit real, o una eina de reconeixement real, NO ets un hacker, només un script-kiddie, i no importa que tinguis N certificacions en seguretat, això no ho canviarà.
Els hackers fan d'aquest un món millor
Gràcies a ells és que tenim tecnologia en continu moviment. El nucli és un gran exemple d'això, són centenars de ments molt versades en el tema, que creen codi que serveix no només a la comunitat hacker, sinó a tot el món. Però no només això, si no fos per ells, la tecnologia s'estancaria en punts on la gent no voldria seguir desenvolupant, això perquè a l'trobar vulnerabilitats, els hackers ajuden a motivar els desenvolupadors a escriure millor codi, i al seu torn, aquest millor codi motiva els hackers a demostrar que són encara millors, generant un cercle virtuós en el medi.
reflexió final
Bé, ja tallaré, així sense més, perquè he vist que m'estic estenent i encara que m'agradaria explicar una mica sobre com trobar un exploit, això haurà de ser per a una altra ocasió. Jo personalment em considero un 'script-kiddie' encara, ja que si bé he trobat una que una altra vulnerabilitat per aquí i fins i tot he pogut assignar CVEs a aquestes, encara no he creat el meu propi exploit o eina per posar a disposició de la comunitat, però espero que això canviï en poc temps Sense més que afegir, moltes gràcies pel seu temps, salutacions.