ENTREVISTA CON UN HACKER BUENO
EZEQUIEL SALLIS, EXPERTO EN SEGURIDAD DE EMPRESAS
Una de estas tardes bien frías y grises, en la que los virus que más afectan son los de la gripe, decidimos darle vuelta la cara a los gérmenes y agarramos para el otro lado. Fuimos en busca de los virus que más nos interesan, los virus informáticos.
De entrada nos planteamos llegar hasta el hueso. Y telefónicamente pactamos una cita con un hacker que trabaja para grandes empresas previniendo ataques. Es algo así como un agente no secreto que hackea a las empresas que se lo piden. Sabe meterse de prepo en casi cualquier sistema informático.
Sentados en su oficina de un piso 11 del macrocentro, lo esperamos un minuto, quizás menos. Imaginábamos dar con un pelilargo de barba de ocho días y bigotes mal cortados, como un antinarcóticos de la policía. O con un nerd de lentes y sonrisa permanente. Pero no, el tipo es la contracara.
Vestido para matar
"Que tal, yo soy Ezequiel", nos sorprendió estrechándonos la mano. Espigado, peinado hacia atrás, simpático, a Ezequiel Sallis le sentaba bien ese prolijo traje azul. Pero ni bien comenzó la charla, el saco parecía de otro. Su sonrisa fresca y la forma de pedirle el café a su compañera de trabajo de la empresa de seguridad I-Sec, no son propias de un ejecutivo. Pero Sallis debe vestirse de empresario porque trabaja para empresarios. Si su look fuera el de un hacker de película, sencillamente no tendría trabajo. Y trabajo le sobra.
"Con mi mujer ya tenemos ganas de tener nuestro primer hijo, pero tengo tanto trabajo... Estoy de acá para allá. En unos días vuelvo a viajar por una semana. Voy a hacer una tarea de consultoría en una empresa de Puerto Rico."
-¿Para qué le sirve a una gran empresa contratar a un hacker?
-Yo puedo decirles qué problemas tienen sus sistemas, puedo meterme en ellos como cualquier otro hacker y les digo donde están flojos. Hago Penetration Testing y Ethical Hacking. Penetration Testing es cuando te contratan para algo específico. Por ejemplo, si quieren saber si su base de datos es inviolable, te contratan para que trates de entrar ahí. En cambio, el Ethical Hacking no tiene un objetivo específico. Tratás de meterte en todos lados y sembrás pruebas. Es decir, colocás un archivo en el sistema o tomás datos secretos y se los contás. Eso se hace para demostrar que entraste.
La ética es lo que cuenta
A lo largo de la charla, Sallis aclara una y otra vez que él es un hacker ético desde siempre y no desde que trabaja para empresas. "Empecé con programitas tontos, ingresando a cuentas de e-mail de amigos y de novias, a los 13 años. Más tarde empecé a ver hasta dónde podía llegar. Me metía en empresas con fama de seguras. Decía: 'A ver si puedo entrar'. Y entraba y salía sin dejar rastro, y siempre sin hacer daño. Se debe diferenciar entre el hacker que hace daño y el que no. Eso es muy importante. Hoy, ya no entro donde no me lo piden. Pruebo mis programas de hacking en cuatro computadoras que tengo en red, en casa."
-¿Tenés esos programas acá?
-Sí, los llevo en la notebook. ¿Querés verlos?
Ezequiel invita a pasar a una pequeña oficina contigua de 2 por 3. Sobre el escritorio espera su portátil extrachata. La enciende. Ingresa a una carpeta llamada Security Tools y se dispone a exhibir lo suyo. Es un auténtico arsenal. Prueba cada una de las herramientas y todas funcionan.
Un verdadero arsenal
Tiene cracking de contraseñas, para ingresar en cuentas vedadas; diccionarios para crackear passwords, que incluye los más usados de la Argentina, como por ejemplo el término capo; herramientas de correo electrónico con las que se puede mandar fácilmente un e-mail con remitente de otro.
También tiene señuelos, que sirven para que un desprevenido entre en una página web que no es la que parece ser y, sin saberlo, envíe información al hacker. Y crawlers que sirven para bajar páginas web e investigarlas off line, y mucho más.
"De todos modos, aclara, esto sólo no sirve. Para hackear hay que tener creatividad. Una contraseña podés conseguirla sólo con llamar por teléfono a la mesa de ayuda de la empresa en cuestión. Y, aunque parezca mentira, con solo decir un nombre de alguien que trabaja ahí, algunos te la dan. O podés ir al Google y empezar a buscar información ahí. Y vas buscando y buscando y te aparecen sectores de sitios de Internet que si entrás por la dirección web de la página te dicen 'no disponible'. Pero si vas por Google, sí podés entrar." Así Sallis encontró los gastos de campaña de uno de los partidos políticos más importantes de la Argentina para la última elección a Jefe de Gobierno de la ciudad de Buenos Aires.
"Si en ese buscador —sigue Sallis— ponés @ y, seguido, el nombre de una empresa, van a aparecerte muchas direcciones de e-mail de esa empresa. Ahí ya tenés otra punta. Después le mandas un troyano a esa cuenta de correo . Y si el destinatario pica, ya estás adentro de la empresa, porque con el troyano todo lo que esa persona tipea te llega a vos. Un troyano se consigue en Internet por 300 dólares."
-Siguiendo el camino que trazás, el nivel de inseguridad es altísimo.
-Depende de la empresa. Hay que seguir ciertas pautas. Nosotros recomendamos manejarse con la norma ISO 17799, que explica desde cómo dar de alta un usuario hasta cómo configurar un servidor. Porque no sirve de nada tener celo en la protección de lo que está en la PC si mandás a imprimir información confidencial a una impresora que está en el medio de un salón al que todos tienen acceso. O si tenés en el pizarrón del departamento de redes el diagrama de red de la empresa. Para alguien como yo, eso es fundamental. Voy con este aparatito —saca de un bolsillo un diminuto celular con cámara—, le saco una foto y listo. Después, el sistema es mío.
Fuente: http://www.clarin.com
EZEQUIEL SALLIS, EXPERTO EN SEGURIDAD DE EMPRESAS
Una de estas tardes bien frías y grises, en la que los virus que más afectan son los de la gripe, decidimos darle vuelta la cara a los gérmenes y agarramos para el otro lado. Fuimos en busca de los virus que más nos interesan, los virus informáticos.
De entrada nos planteamos llegar hasta el hueso. Y telefónicamente pactamos una cita con un hacker que trabaja para grandes empresas previniendo ataques. Es algo así como un agente no secreto que hackea a las empresas que se lo piden. Sabe meterse de prepo en casi cualquier sistema informático.
Sentados en su oficina de un piso 11 del macrocentro, lo esperamos un minuto, quizás menos. Imaginábamos dar con un pelilargo de barba de ocho días y bigotes mal cortados, como un antinarcóticos de la policía. O con un nerd de lentes y sonrisa permanente. Pero no, el tipo es la contracara.
Vestido para matar
"Que tal, yo soy Ezequiel", nos sorprendió estrechándonos la mano. Espigado, peinado hacia atrás, simpático, a Ezequiel Sallis le sentaba bien ese prolijo traje azul. Pero ni bien comenzó la charla, el saco parecía de otro. Su sonrisa fresca y la forma de pedirle el café a su compañera de trabajo de la empresa de seguridad I-Sec, no son propias de un ejecutivo. Pero Sallis debe vestirse de empresario porque trabaja para empresarios. Si su look fuera el de un hacker de película, sencillamente no tendría trabajo. Y trabajo le sobra.
"Con mi mujer ya tenemos ganas de tener nuestro primer hijo, pero tengo tanto trabajo... Estoy de acá para allá. En unos días vuelvo a viajar por una semana. Voy a hacer una tarea de consultoría en una empresa de Puerto Rico."
-¿Para qué le sirve a una gran empresa contratar a un hacker?
-Yo puedo decirles qué problemas tienen sus sistemas, puedo meterme en ellos como cualquier otro hacker y les digo donde están flojos. Hago Penetration Testing y Ethical Hacking. Penetration Testing es cuando te contratan para algo específico. Por ejemplo, si quieren saber si su base de datos es inviolable, te contratan para que trates de entrar ahí. En cambio, el Ethical Hacking no tiene un objetivo específico. Tratás de meterte en todos lados y sembrás pruebas. Es decir, colocás un archivo en el sistema o tomás datos secretos y se los contás. Eso se hace para demostrar que entraste.
La ética es lo que cuenta
A lo largo de la charla, Sallis aclara una y otra vez que él es un hacker ético desde siempre y no desde que trabaja para empresas. "Empecé con programitas tontos, ingresando a cuentas de e-mail de amigos y de novias, a los 13 años. Más tarde empecé a ver hasta dónde podía llegar. Me metía en empresas con fama de seguras. Decía: 'A ver si puedo entrar'. Y entraba y salía sin dejar rastro, y siempre sin hacer daño. Se debe diferenciar entre el hacker que hace daño y el que no. Eso es muy importante. Hoy, ya no entro donde no me lo piden. Pruebo mis programas de hacking en cuatro computadoras que tengo en red, en casa."
-¿Tenés esos programas acá?
-Sí, los llevo en la notebook. ¿Querés verlos?
Ezequiel invita a pasar a una pequeña oficina contigua de 2 por 3. Sobre el escritorio espera su portátil extrachata. La enciende. Ingresa a una carpeta llamada Security Tools y se dispone a exhibir lo suyo. Es un auténtico arsenal. Prueba cada una de las herramientas y todas funcionan.
Un verdadero arsenal
Tiene cracking de contraseñas, para ingresar en cuentas vedadas; diccionarios para crackear passwords, que incluye los más usados de la Argentina, como por ejemplo el término capo; herramientas de correo electrónico con las que se puede mandar fácilmente un e-mail con remitente de otro.
También tiene señuelos, que sirven para que un desprevenido entre en una página web que no es la que parece ser y, sin saberlo, envíe información al hacker. Y crawlers que sirven para bajar páginas web e investigarlas off line, y mucho más.
"De todos modos, aclara, esto sólo no sirve. Para hackear hay que tener creatividad. Una contraseña podés conseguirla sólo con llamar por teléfono a la mesa de ayuda de la empresa en cuestión. Y, aunque parezca mentira, con solo decir un nombre de alguien que trabaja ahí, algunos te la dan. O podés ir al Google y empezar a buscar información ahí. Y vas buscando y buscando y te aparecen sectores de sitios de Internet que si entrás por la dirección web de la página te dicen 'no disponible'. Pero si vas por Google, sí podés entrar." Así Sallis encontró los gastos de campaña de uno de los partidos políticos más importantes de la Argentina para la última elección a Jefe de Gobierno de la ciudad de Buenos Aires.
"Si en ese buscador —sigue Sallis— ponés @ y, seguido, el nombre de una empresa, van a aparecerte muchas direcciones de e-mail de esa empresa. Ahí ya tenés otra punta. Después le mandas un troyano a esa cuenta de correo . Y si el destinatario pica, ya estás adentro de la empresa, porque con el troyano todo lo que esa persona tipea te llega a vos. Un troyano se consigue en Internet por 300 dólares."
-Siguiendo el camino que trazás, el nivel de inseguridad es altísimo.
-Depende de la empresa. Hay que seguir ciertas pautas. Nosotros recomendamos manejarse con la norma ISO 17799, que explica desde cómo dar de alta un usuario hasta cómo configurar un servidor. Porque no sirve de nada tener celo en la protección de lo que está en la PC si mandás a imprimir información confidencial a una impresora que está en el medio de un salón al que todos tienen acceso. O si tenés en el pizarrón del departamento de redes el diagrama de red de la empresa. Para alguien como yo, eso es fundamental. Voy con este aparatito —saca de un bolsillo un diminuto celular con cámara—, le saco una foto y listo. Después, el sistema es mío.
Fuente: http://www.clarin.com
0 comentarios:
Publicar un comentario