martes, 28 de mayo de 2024

El hacker "no" es ético

Cuando empecé a aprender el funcionamiento de las redes de comunicaciones, en primer lugar, a través de modems en la red FidoNet, más tarde, con el PC, las redes Novell (IPX/SPX) y finalmente las redes basadas en arquitectura Ethernet y TCP/IP, siempre me fascinó esa parte en la que te identificabas. Meter el usuario y la contraseña en una BBS, en un Telnet, etc., era como llamar a la puerta de una mansión donde podías encontrar dentro casi cualquier cosa. Luego descubrí que esas llaves (usuario/contraseña) eran una pequeña "estafa" ya que podías interceptarlas y leerlas directamente y, por tanto, también podías descubrir las de los demás y usarlas para entrar en esas "mansiones de datos".

De ahí a usar fuerza bruta, diccionarios de hashes o passwords, etc., fue fácil, bajar el fichero passwd (cuando no existía todavía el fichero shadow, y también cuando existía), entrar, recompilar comandos para cambiar su funcionalidad, modificar el registro de Windows, estudiar el código ejecutándose de un sistema de verificación por llaves o claves mediante SoftIce y alguna que otra utilidad, todo, absolutamente todo, para aprender y pasar el rato.

¿Todo desde un punto de vista ético?, para nada, solo era aprender, me instalaba un Linux y me lo cargaba, me instalaba un Windows y me lo cargaba, y así durante mucho tiempo. Tenía amigos, si, de los que te dejaban probar en sus PCs y yo les dejaba probarn en el mío. Aquello era nuestro banco de pruebas, nuestro laboratorio y, quizás, algún otro servidor universitario o incluso de alguna empresa que, incluso, se dedicaba a la seguridad...

El hacker ético no existe, al menos no para mí, porque un hacker es un hacker, es alguien que disfruta aprendiendo y estudiando cualquier sistema, ya sea computacional o de comunicaciones, hasta descubrir sus posibles problemas y también, sus virtudes.

Según la Wikipedia, un hacker o jáquer es: "un apasionado, un entusiasta, un experto de las nuevas tecnologías, una persona que trata de romper los límites de la tecnología para crear algo superior".

Es eso, alguien al que simplemente le gustan tanto las nuevas tecnologías que pasa muchas horas estudiando como poder mejorarlas y optimizarlas, no es nadie oscuro ni tiene que llevar una sudadera con gorro y una mochila a todos lados. Puede tener o no titulación técnica o ser más alto o bajo, tampoco tener barba de una semana o pelo largo y gafas de cristales enormes. No, no es nada de eso, o al menos no es tan común como ha hecho creer el cine y la televisión. Tampoco es alguien que se saca de la manga un diskette, CD o pendrive, lo enchufa y tiene acceso a todos tus secretos.

Luego está la acepción más controvertida, la de cracker que es como un hacker en plan malote y que quiere robar números de tarjetas de crédito para hacerse rico de forma rápida. En mi opinión, esta acepción, para intentar lavar la imagen del hacker es lo que ha hecho precisamente que se ensucie, en el momento en el que intentamos re-clasificar es cuando la cosa se desmadra y ahora tenemos que intentar encauzarla cuanto antes. Es entonces, cuando algún iluminado adorna dicha acepción con otra palabra que sea bonita y suene muy bien, en nuestro caso, qué mejor palabra que "ético". Pero la palabra ética, en español, significa: "Recto, conforme a la moral" y "Persona que estudia y enseña moral", en dos de sus definiciones. ¿Qué diferencia un hacker ético de un hacker?, ¿ayuda esto a que uno piense que un hacker ético es el bueno y un hacker, a secas, es "malo"?, y, entonces, ¿es un cracker un hacker o es peor?

O sea, hemos pasado de una persona idolatrada por muchos (sobre todo compañeros y alumnos) en los tiempos del M.I.T. (Instituto Tecnológico de Massachusets) en la segunda mitad del siglo XX a alguien de dudosa actitud en pleno siglo XXI. 

No, un hacker no es ético, un hacker es un hacker y punto, no entiendo tampoco la acepción de cracker como un hacker malo. Un hacker puede ser mejor o peor, pero es eso. 

Pero, ¿por qué?, básicamente porque cualquiera puede ser un cracker, cualquiera puede, sin muchos conocimientos técnicos, ejecutar un programa que busque vulnerabilidades e instale algún malware de forma automatizada, puede darse de alta en un SaaS de ransomware y hacer cosas peligrosas sin más conocimiento qué el de cualquier estudiante de ESO. Es, a mi modo de ver, la línea entre un hacker y el resto, la capacidad de realizar acciones muy técnicas y a bajo nivel que no todo el mundo es capaz o al menos le costaría un tiempo aprenderlas.

Entonces, ¿para qué tanto catalogar y etiquetar con ético, rojo o blanco o modificando la palabra como phreaker o cracker?, un hacker es un hacker y un delincuente es un delincuente, tanto si sabe como si no, eso sí, si está dentro de las nuevas tecnologías también se le llamará ciberdelincuente, pero aunque el mono se vista de seda...

Por último, esto no tiene nada que ver tampoco con experto en ciberseguridad, perito forense informático, etc., ya que cada uno, dentro de su profesión y especialidad puede ser un hacker 😉




miércoles, 8 de mayo de 2024

De redes sucias, limpias y filtradas

En las empresas existen redes, subredes, entornos y zonas en las que podemos estar más o menos seguros y confiar en ellas, pero debemos tener claro que en el origen puede estar un problema que puede propagarse por todas las subredes y hacer que estas divisiones, al final, no sirvan para nada.



De entornos

En cuanto a los entornos, generalmente se han diferenciado tres:

  • Producción o productivo: es el entorno donde los servidores, appliances y servicios son de carácter productivo, o sea, donde los usuarios hacen su trabajo diario generando datos e información para la organización.
  • Pre-producción, pre-productivo o de integración: entorno utilizado como sistema de pruebas y rendimiento antes de pasar a producción. Suelen ser entornos muy parecidos o idénticos a los de producción, pero con datos no reales y que sirven para probar en profundidad su funcionamiento y evitar problemas cuando estos se pongan en modo productivo.
  • Desarrollo, laboratorio, etc.: entorno en el que se desarrolla o configura un sistema durante un periodo de tiempo y que es pasado a pre-producción cuando es finalizado.

Los entornos están más relacionados con las fases de desarrollo y/o configuración de los distintos productos a usar por la organización. Suelen estar en subredes distintas y se pueden subdividir en otras subredes, VLANes, etc.

De redes/subredes

Aunque también se les suele llamar entornos, existen unas divisiones en cuanto a las comunicaciones de forma que de unas a otras haya restricciones, normalmente mediante routers y firewalls.

Estas redes suelen ser dos, principalmente:

  • DMZ o zona desmilitarizada que expone servicios a Internet
  • Intranet o zona privada de la organización que no expone servicios a Internet

A su vez, existen otras redes o subredes como son la Extranet que se podría decir que es una Intranet desde fuera, pero que no deja de ser (en la mayor parte de los casos) un servidor puesto en la DMZ que da paso a otro que está en la Intranet.

Además, existen elementos que subdividen y filtran el paso del tráfico y que son:

  • Firewalls que permiten bloquear puertos y tráfico de la red en cualquier sentido
  • Routers que enrutan el tráfico de red hacia donde hace falta, aquí también podemos mencionar los balanceadores que pueden dirigir el tráfico entre varios servidores para la misma tarea
  • VLANes o redes locales virtuales y que son una abstracción y virtualización de una red física donde partes de ella pueden ser o no ser accesibles. Suelen crearse para dividir unidades organizacionales como Ventas, Facturación, etc.

Con todo esto (y algunas cosas más, pero que no las incluiré para no liar más) se crea una arquitectura básica de red y servidores que nos indica el nivel de seguridad de esta y los accesos. Un ejemplo podría ser el siguiente:


De redes sucias, limpias y filtradas

¿Y qué tiene que ver esto con redes sucias, limpias y/o filtradas?, pues mucho. Para considerar una red como límpia hay que establecer su origen. El origen de una comunicación podemos decir que puede ser limpia cuando no hay interacción humana y está dentro de un ámbito de control muy determinado. Por ejemplo, en este caso entre servidores o VLANes dentro de la Intranet, como podría ser entre los servidores de tecnología y los de empresa.

Hay que entender también que no se han añadido elementos de detección y protección como son los DLP, XDR, Antivirus/Antimalware, etc., pero que se supone deben de estar considerados en todo el ámbito de la red.

En este sentido, si el origen es de un usuario, aunque este sea de dentro de la organización, o sea, dentro de la misma Intranet, se considerará que es tráfico de red sucio pues proviene de un elemento que es controlado por una persona no técnica ni es por un servidor de forma automatizada.

También podemos considerar una red sucia la que proviene de un usuario externo aunque esta pase por una VPN. Aquí pueden darse, además, variantes ya que la podemos considerar como sucia si proviene de un equipo no controlado por la organización (por ejemplo una subcontrata) y como filtrado si proviene de un equipo propio de la organización. Igual podemos determinar cuando es por equipos de usuarios dentro de la Intranet.

¿Se puede limpiar?, claro, siempre que ese tráfico pase por una serie de elementos como un antivirus, un XDR, etc., podríamos decir que está limpia y por tanto es algo muy subjetivo. También podemos considerar que, aunque pase por otros elementos de control y detección de malware consideramos que dicha parte de la red es sucia. En el caso del ejemplo, consideraríamos que tanto la VPN de acceso a externos como la VLAN de usuarios son redes sucias y las redes de tecnología y empresa son redes limpias.

Esto es muy importante a la hora de establecer donde deben estar los elementos de detección, control y bloqueo del tráfico y de cómo actuar cuando haya que establecer conectividades y accesos dentro de la organización.

Por ejemplo, en el ejemplo anterior, podríamos determinar los siguientes elementos de detección y control:


Hay que entender que todo esto es muy dinámico ya que podemos considerar, según la criticidad de la subred (pagos, industrial...), que las que al principio eran limpias ahora son sucias debido a que puede haber, por ejemplo, ataques en la cadena de suministro, pero es, sin duda, una buena manera de establecer determinados controles para evitar problemas.






El "timo de la estampita", más vigente que nunca

Que las nuevas tecnologías han mejorado la estafa es un hecho y que los viejos rockeros nunca mueren, también. La siguiente historia está ba...