Hacking

Jerome Kerviel, el empleado francés de 31 años que podría haber defraudado miles de millones de dólares jaqueando el sistema financiero de transacciones electrónicas, contaba al parecer con un curriculum bastante escaso en cuanto a sus capacidades informáticas se refiere, limitado a Microsoft Office y Visual Basic, lenguaje con el que habría creado algunas macros durante su trabajo en Societé Generale.

Hace bastante tiempo que Kriptópolis comenzó a recorrer la senda de la virtualización, convencido como estoy de que está destinada a darnos mucho juego en todos los sentidos, y particularmente en todo lo relativo a la seguridad.

La gente de SG6 Labs ha ido un paso más allá y hoy nos presenta Sauron, que constituye el primero de sus entornos virtuales para practicar intrusiones en los sistemas.

Sauron representa un sistema GNU/Linux corriendo algunos servicios web vulnerables. El entorno es virtual, pero el reto es tan real como la vida misma: pasar del servidor web al sistema local de ficheros y luego tratar de lograr privilegios de root.

La presentación no puede ser mejor, ya que es posible descargar dos máquinas virtuales con diferente nivel de dificultad. Una de ellas (la versión "normal") cuenta con numerosas ayudas estratégicamente situadas. La otra ("avanzada") deja todo el trabajo al posible intruso...

Habíamos hablado de BackTrack en Kriptópolis a raíz de la presentación hace unos meses de su versión 2, que procedimos a probar virtualizada y más tarde instalamos en una llave USB.

Esta misma semana se ha publicado BackTrack 3 en versión beta, conteniendo muchas novedades interesantes, como la utilización del kernel 2.6.15.5 (lo que significa mejor soporte para Core Duo), aumento de la compatibilidad con más tarjetas inalámbricas, repositorios de exploits actualizados (incluyendo actualización de Metasploit), Compiz, etc...

Dan Egerstad (el experto sueco en seguridad que publicó este verano en su sitio web las contraseñas de acceso a cien cuentas de correo de embajadas y otros organismos, obtenidas fisgando el tráfico sin cifrar de un nodo Tor) ha sido arrestado por funcionarios de las agencias suecas de Inteligencia.

Los agentes trasladaron a Egerstad a dependencias policiales para interrogarlo, mientras otros funcionarios se incautaban de ordenadores, CDs y documentos hallados en su apartamento

Finalmente fue puesto en libertad, pero continúa siendo sospechoso de intrusión informática y además parece haber sido acusado de robo, en base a ocho consolas PlayStation 2 encontradas en su vivienda....

Parece que el neolenguaje avanza, porque la Justicia parece responder cada vez menos a los hechos en sí, y cada vez más a las expresiones elegidas para denominarlos.

Si que dos estudiantes jaqueen un sistema de la Universidad para cambiar sus notas lo llamáramos "gamberrada" merecería una amonestación, tal vez una multa e incluso la expulsión.

Si lo llamáramos "hacking" empezaríamos a invocar demonios varios, y podríamos empezar a considerar la cárcel para los autores, al menos si los daños producidos lo justificaran.

Pero basta considerarlo "conspiración para defraudar" para que los dos estudiantes puedan ser condenados a penas de ¡20 años de cárcel!...