Módulo 6. Seguridad en proyectos de gobierno electrónico Casos e historias de hackers famosos Definiciones de hacker Algunas de las definiciones más comunes de un hacker son las siguientes: 1. Es una persona que disfruta explorando detalles del software de los sistemas operativos y paquetes de uso generalizado como Excel, Word, Internet Explorer, etc., que intenta llevarlos a su máxima capacidad. En contraste con la mayoría de los usuarios que sólo prefieren aprender lo mínimo necesario para utilizarlos. 2. Es alguien que programa con obsesivo entusiasmo, que disfruta programando, desarrollando y ejecutando, en lugar de hacer teorías de la programación o diseñando sin validar la funcionalidad. 3. Una persona capaz de apreciar el valor de “hackear”. Esta definición no es de nuestro agrado. 4. Alguien que es muy bueno para programar rápidamente. Esta definición se puede prestar a malas interpretaciones, porque hay muchos programadores muy buenos y rápidos. 5. Es un especialista en un programa en particular o quien frecuentemente hace uso de éste, puede ser un “hacker en Unix” (las definiciones de la 1 a la 5 están relacionadas y las personas que se ajustan a ellas, se congregan para intercambiar experiencias). 6. Un experto y entusiasta de cualquier clase, o de cualquier campo. Por ejemplo, podría ser un hacker sobre astronomía. 7. Alguien que disfruta de los retos intelectuales de estar creativa y continuamente buscando y encontrando nuevas formas de sacar la vuelta a los mecanismos de seguridad. 8. Una persona maliciosa que trata de descubrir información sensible husmeando por sitios donde no tiene autorización. Es despectivo, como un password hacker o network hacker. El término correcto para este tipo de individuos es “craker”. DR. Universidad Virtual del Tecnológico de Monterrey 1 Módulo 6. Seguridad en proyectos de gobierno electrónico En resumen • • • Un hacker es alguien interesado en aprender todo lo posible sobre un sistema, a veces superando la seguridad, pero sin intención de dañar. Un cracker tiene la intención de hacer daño y ocasionar problemas utilizando métodos menos sofisticados pero que logran su objetivo. Un phreaker es algo como el hacker pero en el dominio de la telefonía. Historia de algunos hackers famosos 1970 “Captain Crunch” (John Draper) descubre que un juguete le permite hacer llamadas telefónicas gratis. 1971 Se forma una organización para aprender a tener acceso gratis al servicio telefónico y a TV por cable. 1976 Steve Jobs y Steve Wozniak exhackers inician la empresa Apple Computer. 1980’s Se forman grupos de hackers llamados “Cult of the Death Cow” y “The Legion of Doom”. Dic/1992 Kevin Poulsen fue detenido por robar información de la Fuerza Aérea de Estados Unidos. Dic/24/1994 Kevin Mitnik robó un código secreto de un especialista de seguridad del gobierno de EUA. Sept/14/1998 Unos hackers accesan la página Web del New York Times y lo obligan a suspender el acceso durante varios días. Ago/1998 Aparece un caballo de troya llamado “Back Orifice” que permite el acceso remoto a sistemas Windows 95 y 98. Jul/26/1998 Aparece un virus que se activa a la misma hora de la final de la Copa Mundial de Futbol en Francia. DR. Universidad Virtual del Tecnológico de Monterrey 2 Módulo 6. Seguridad en proyectos de gobierno electrónico Mar/1998 Un grupo simpatizador del movimiento zapatista modifica la página Web de la Secretaría de Hacienda y Crédito Público, en México. Feb/1998 Alguien modifica la página Web de uno de los bancos más importantes de México. Oct/98 Se generalizan ataques a servidores de correo electrónico, destacando sobre todo el ataque llamado SPAM, que sirve para que una tercera persona envíe mensajes de propaganda principalmente pornográfica, haciendo parecer que el que envía el mensaje es otra empresa. Mar/2000 Aparece el SubSeven, que es un caballo de troya. Oct/2000 Golpe de hackers a Microsoft, la empresa niega daños. 7/Abr/2002 Ataque a Ericsson Como se podrá apreciar en esta sección, los sitios preferidos de los hackers han sido las dependencias de gobierno o instituciones de servicio al público. Esto significa que las dependencias de gobierno deben también tomar conciencia de que la protección de la información es vital para proteger la información de los usuarios de los servicios que se proporcionan, que a final de cuentas son las personas que generan los recursos monetarios por medio de los impuestos. Un par de casos • El sitio Web de la empresa Western Union sufrió una intrusión por los atracadores virtuales, quienes se hicieron de la información de 15 mil 700 tarjetas de crédito y débito de usuarios que utilizan sus servicios. La DR. Universidad Virtual del Tecnológico de Monterrey 3 Módulo 6. Seguridad en proyectos de gobierno electrónico compañía atribuye el agujero de seguridad al error de un administrador del sistema durante unas operaciones rutinarias de mantenimiento. Western Union, parte de First Data Corp, el gigante de los pagos electrónicos, anunciaba el lanzamiento de MoneyZap, un nuevo servicio de pagos persona a persona por vía Internet. Más tarde, su sitio Web http://www.westernunion.com sería víctima de uno de los mayores robos de información sensible en la historia del comercio electrónico en Internet. • La compañía suministró a Visa y MasterCard los números de las tarjetas robadas e informó a los afectados vía teléfono, correo tradicional y correo electrónico. Hasta la fecha, no se ha detectado, o no se ha hecho público, el uso fraudulento de la información sustraída. Sin duda, la trascendencia de este hecho no sólo perjudica al Western Union, sino que salpica a todo el comercio electrónico en Internet. Los esfuerzos por concienciar a los usuarios de la seguridad en las transacciones por la Red sufren un desgaste importante ante la opinión pública que recibe con alarma este tipo de sucesos. También en el Senado mexicano se presentan estos casos: Hoy día existe la tecnología y soluciones para proveer un nivel de seguridad en Internet más que aceptable, superior al que podemos encontrar en las transacciones que a diario realizamos en el mundo "real”. Algunos de los sitios atacados en México • Abr./23/1998: Comisión Nacional del Agua DR. Universidad Virtual del Tecnológico de Monterrey 4 Módulo 6. Seguridad en proyectos de gobierno electrónico • • • • Abr./29/1998: INEGI May./25/1998: Senado de la República Jul./14/1998: Secretaría de Salud Sep./16/1998: Municipio de San Pedro Garza García, N.L. Otros sitios atacados • • • • • http://www.olivetti.com.mx - Dic./2001 http://www.conocer.org.mx - Dic./2001 http://www.compunet.com.mx - Dic./2001 http://www.acerosrgc.com.mx - Abr./2001 http://www.gilsa.com.mx – Abr./2001 Bibliografía de consulta • Famous hacker Kevin Mitnick gets hacked http://www.cnn.com/2003/TECH/internet/02/11/hacker.hacked.ap/index.html • Latest ID theft scam: Fake job listings http://www.cnn.com/2003/TECH/internet/02/28/monster.theft.ap/index.html Referencias bibliográficas 1. Casos e historias de hackers, información recuperada de los sitios de Internet http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html y http://www.udec.cl/~rquiero/tarea4/historias_.htm 2. Littman, Jonathan. (1997). The Wacthman. Casos e historias de hackers. Editorial: Little, Brown and Company. 3. López, Manuel. (1997). En la mira de los hackers: estudio de Dreitech e Intermarket recuperado del sitio de Internet 4. McClure, Stuart; Scambray, Joel; Kurtz, George. (2002). Hackers, Secretos y soluciones para la seguridad de redes. Editorial: McGraw-Hill DR. Universidad Virtual del Tecnológico de Monterrey 5