Fernando García Guerra / Ignacio Rico Texeira /Rubén Saá Álvarez ¿HACKERS ÉTICOS? Fernando García Guerra / Ignacio Rico Texeira /Rubén Saá Álvarez

Clasificación Hacker Phreaker Cracker Script-kiddie Lamer Élite Gurú Pirata //Algunas fotos que nos den a entender de manera gráfica que es cada cual. //Enlace al hilo de foro donde un adolescente nos cuenta que quiere hackear la página web de su instituto. Hacker: explora y fuerza sistemas, experto en un programa y que escribe código de manera entusiasta. Phreaker: monstruo telefónico. Persona que con amplios conocimientos de telefonía puede llegar a realizar actividades no autorizadas con los teléfonos. Construyen equipos electrónicos artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos telefónicos celulares sin que el titular se percate de ello. Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente). Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreaks han pasado a utilizar muchas de las técnicas de los hackers. Cracker: El término cracker se utiliza para referirse a las personas que rompen algún sistema de seguridad. Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta, o por el desafío Mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, y se los suele utilizar para saltearse restricciones como por ejemplo que un programa deje de funcionar a un determinado tiempo, o que sólo funcione si es instalado desde un CD original, etc.Viola la seguridad de un sistema informático y, por ejemplo, toma control de este, obtiene información, borra datos, etc. Script-kiddie: Es habitual asumir que los script kiddies son adolescentes sin habilidad para programar sus propios exploits, y que su objetivo es intentar impresionar a sus amigos o ganar reputación en comunidades de entusiastas de la informática. Lamer:Lamer es un anglicismo propio de la jerga de Internet que hace alusión a una persona falta de habilidades técnicas, sociabilidad o madurez considerada un incompetente en una materia, actividad específica o dentro de una comunidad, a pesar de llevar suficiente tiempo para aprender sobre la materia, actividad o adaptarse a la comunidad que le considera un lamer Élite:Alguien que sabe y está bien conectado. Gurú:Experto. Implica una historia como recurso de conocimiento para los otros y ser lo que se llama un "mago", alguien que conoce detalladamente como funciona un programa o una máquina y puede encontrar y solucionar sus fallos //Black/whiete hat: quitado porque en la siguiente transparencia hablamos de los white hat y además también está definido el concepto de cracker. Pirata: En contra de lo que se cree, no es la traducción literal de hacker sinó quien se dedica a la copia y distribución ilegales de programas La profesión de la Informática en la Sociedad Actual

Los Jedis de los ordenadores White hat hackers = Jedis Experto en sistemas informáticos Entra – Mira – Cierra la puerta (¿avisando?) Especialistas en prevenir Ataques cibernéticos pueden servir para corregir defectos de seguridad en los sistemas. // Foto de los jedis Consideran la programación y los sistemas de seguridad como un desafío intelectual. “A nosotros nos pagan por encontrarle fallas al sistema, destruir cosas (…). De alguna manera para nosotros es divertido, porque tratamos de luchar contra el intelecto de otras personas para tratar de explicar donde están sus errores. No somos un mal, somos ayuda.” La profesión de la Informática en la Sociedad Actual

Manifiesto Hacker The Mentor (1986): Loyd Blankenshi “Este mundo es nuestro... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya existente, sin pagar por eso que podrían haber sido más barato si no fuese por esos especuladores. Y nos llamáis delincuentes. Exploramos... y nos llamáis delincuentes. Buscamos ampliar nuestros conocimientos... y nos llamáis delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y vosotros nos llamáis delincuentes. Construís bombas atómicas, hacéis la guerra, asesináis, estafáis al país y nos mentís tratando de hacernos creer que sois buenos, y aún nos tratáis de delincuentes. Sí, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es ser más inteligente que vosotros, algo que nunca me perdonaréis. Soy un hacker, y éste es mi manifiesto. Podéis eliminar a algunos de nosotros, pero no a todos... después de todo, somos todos iguales.” Conocido escritor y hacker estadounidense de la década de los 70. Perteneció a los grupos de hackers “Extasyy Elite” y “Legion of Doo” “Extasyy”:la historia de este grupo es un poco triste, pues el grupo fue destruido literalmente por sus miembros. Los unos se acusaban a los otros, The Mentor fue arrestado, otro decía que si le habían robado nosecuantos ordenadores Apple,etc… Miembros: Bit Blitz, Cisban Evil Priest, Crustaceo Mutoid, Kleptic Wizard, The Mentor, The Poltergeist, The Protestor “Legion od Doo”: Escribió el manifiesto después de ser arrestado y lo publicó en la revista “Phrack” (www.phrack.org) Pregunta: según el manifiesto. Lo que hacen los hackers es delito??(Fernando hablará del código penal más adelante). Quienes son peores?? Son iguales?? La profesión de la Informática en la Sociedad Actual

Código penal - Jurisprudencia Caso !Hispahack - !H (1997) Primera sentencia en España contra un grupo Hacker Grupo de Hackers españoles (1997 – 2002) Crearon la webzine “Mentes Inquietas” “Icmpush” -> SING de LINUX Queja de Telefónica: Acceso a la NASA, a la U.Oxford y el Congreso de los Diputados: “¡Cuantos diputados y cuantas comisiones harán falta para descubrir que poner un ordenador en internet no es sólo enchufarlo ‘Manda Guebos!!...1-3, seguimos avanzando! (!H).” La profesión de la Informática en la Sociedad Actual

Código penal – Jurisprudencia (2) Denuncia de la esCERT de la UPC: Instalación de “sniffers” y obtención de privilegios de Administrador. Abril del 1998: La Guardia Civil detiene a 4 miembros de !Hispahack: Stk, Jfs, JR y Magne; por “revelación de secretos y daños informáticos”. Mayo de 1999: Sólo “Jfs” fue juzgado y finalmente absuelto: “El acceso se hallaba al alcance de cualquiera que entrase a través del usuario "hispahack" y, por lo tanto, las sospechas no alcanzan la categoría de indicios bastantes como para desvirtuar totalmente la presunción de inocencia”. SNIFFER SNIFFER Univ. Pol. Cataluña Univ. de Oviedo DATOS DATOS “La Red Café” (Mallorca) Usuario: hispahack La profesión de la Informática en la Sociedad Actual

Código penal – Jurisprudencia (3) Se definió por primera vez en el ámbito judicial español el fenómeno “hacking”: “Intrusismo informático, un conjunto de comportamientos de acceso o interferencia no autorizados a un sistema informático o red de comunicación electrónica de datos, y la utilización de los mismos sin autorización o más allá de lo autorizado”. Jurisprudencia: Criminalización del “hacking”. Aceptar los “logs” como prueba. DEBATE: No reprobación a las fuerzas de la ley por obtener información de personas sin autorización judicial. DEBATE: esCERT como denunciante y como perito imparcial. La profesión de la Informática en la Sociedad Actual

Código penal – HOY Reforma que entró en vigor el 23/12/2010 Artículo 197: Descubrimiento y revelación de secretos, Apartado 3: “El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o PROGRAMAS INFORMÁTICOS contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de SEIS MESES A DOS AÑOS”. Apartado 8: “Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.” (2 A 4 AÑOS) “HACKING DIRECTO”: mero acceso sin ánimo delictivo. La profesión de la Informática en la Sociedad Actual

Código penal – HOY (2) Artículo 248: Delito de estafa, Apartado 2: “También se consideran reos de estafa: a) Los que, con ÁNIMO DE LUCRO y valiéndose de alguna MANIPULACIÓN INFORMÁTICA o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaren, introdujeren, poseyeren o facilitaren PROGRAMAS INFORMÁTICOS específicamente destinados a la comisión de las estafas previstas en este artículo. c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.” Penas de UNO A SEIS AÑOS. La profesión de la Informática en la Sociedad Actual

Código penal – HOY (3) Artículo 264: Delito de daños, “Apto. 1. El que por cualquier medio, sin autorización y de manera grave BORRASE, DAÑASE, DETERIORASE, ALTERASE, SUPRIMIESE, O HICIESE INACCESIBLES DATOS, PROGRAMAS INFORMÁTICOS o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de SEIS MESES A DOS AÑOS”. “Apto. 2. El que por cualquier medio, sin estar autorizado y de manera grave OBSTACULIZARA O INTERRUMPIERA EL FUNCIONAMIENTO DE UN SISTEMA INFORMÁTICO ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de SEIS MESES A TRES AÑOS”. Se prevé y contempla el uso de las TIC en este tipo de delitos. No hace distinciones entre “Hackers buenos” y “Hackers malos”. La profesión de la Informática en la Sociedad Actual

¿Ocio o trabajo? Ocio DEFCON Kids: Grooming Next Generation White Hat Hackers White Hat Hacker Cracks UK ID Card In 12 Minutes White hat hacker exposes NASA servers' vulnerabilities White-Hat Hacker Helps Solve Rift Security Exploit http://www.youtube.com/watch?v=hWohrXQSdRo&feat ure=related 08-08-2011 06-08-2009 19-05-2011 21-03-2011 DEFCON Kids  Convención anual que surgió en 1993. Reúne a chavales (de 8 a 16 años) que quieren aprender el arte del hacking legal y mostrar sus habilidades. Los “maestros” son ex-virtuosos del hacking, por lo que lo que puedan enseñar, puede quedar en duda. Una de las cosas que aprendió una niña de 10 años fue conseguir que sus cosechas virtuales creciesen más rápido. UK ID Card  El periódico Dailymail propuso a un experto que intentara falsificar una ID card de estudiantes y trabajadores inmigrantes. Tardó 12 minutos con la ayuda de un portátil y un móvil con lector de chips. Falsificó el carné, los datos personales, la huella digitalizada, incluso dejó escrito que era un terrorista y que disparasen si le veían. Cuando fueron al gobierno a reportar el fallo, el gobierno trató la noticia como basura y no le dio credibilidad. Decía que las tarjetas era inviolables. NASA  Descubrió un agujero de seguridad en un servidor FTP de la NASA, destinado al programa de observación de la tierra. Publicó pantallazos para demostrarlo. También desveló un agujero similar en la ESA. Dice que haciendo que esa información descubierta sea pública, las compañías pueden reparar esa vulnerabilidad antes, porque la conocen. Hasta el momento no ha tenido problemas legales. Quien sabe si los tendrá. También dice que es un hobby para él, y que si alguien quiere contratarle, que no es ningún problema. Rift  un jugador de Rift (juego de rol online multijugador) se percató de un fallo de seguridad en el juego. Lo reportó y a los pocos minutos se había parcheado y recompilado el código. VIDEO  Hacer un mundo mejor. Hackers para luchar contra hackers, al igual que soldados para luchar contra soldados. El del vídeo identificó un fallo en el sistema que dirige el tráfico en Internet. Dice que en manos maliciosas esa información podría haber resultado un problema para bancos, comunicaciones… Dice que su actuación no es siempre altruista, pero que al empezar es una forma de demostrar que eres bueno y que te puede contratar una empresa. La profesión de la Informática en la Sociedad Actual

¿Ocio o trabajo? Trabajo Cyber security summit agrees white hat hackers are needed U.S. Admits Its Cyber Security Sucks and Hopes White Hat Hackers Will Ride to Its Aid 'White hat' hackers in demand 25-03-2011 08-11-2009 01-07-2008 Cyber security summit  Una cumbre de seguridad cibernética en Reino Unido ha concluido que los white hat hackers son necesarios para contratar y entrenar de cara a una supuesta futura ciber-guerra. De hecho, dice la noticia que EEUU pretende destinar $13 billones al año durante los próximos 5 años en actualizar sus ciber defensas. No se sabe si se refiere a cambios a nivel de hardware o software o a contratar white hackers. Incluso habla de desarrollar un programa de entrenamiento. U.S. Admits  DARPA (Agencia del Departamento de Defensa de EEUU encargada de la investigación de nueva tecnología para uso militar). Hizo un llamamiento público para contratar expertos y hacer frente así a los ataques de ciber-espionaje por parte de China y Rusia. 'White hat' hackers in demand  Contratado por períodos de semanas, y se encarga de destapar las vulnerabilidades de grandes empresas americanas, europeas, asiáticas, [… ]. Tanto agujeros internos como externos. Dice que es divertido, y que es como si fueras un hacker malo, pero no vas a la cárcel. La profesión de la Informática en la Sociedad Actual

¿Ocio o trabajo? Ocio con “premio” Facebook pays out £25,000 to 'whitehat' hackers Google ofrece $20,000 a quien rompa la seguridad de Chrome http://www.youtube.com/watch?v=7M2yyGyg01c 31-08-2011 12-04-2011 Facebook  paga 1000 libras al día a expertos para que actúen como cazarecompensas buscando bugs en su software, que podrían ser aprovechados por hackers maliciosos. La política que sigue para conseguir implicación, es asegurar que no tomará acciones legales en contra de aquellos que reporten los errores encontrados. En total ha concedido 25000 libras. 4300 libras a uno que reportó 6 vulnerabilidades. 3000 libras a un experto que descubrió una vulnerabilidad seria. Por supuesto, esto también despierta a gente que busca publicidad, y desvela falsos bugs. VIDEO  Los describe como héroes (que no tienen capa). Habla de una convención de Hackers que buscan ser el que más hosts es capaz de controlar. El ganador se lleva $100000 y todos los fallos de seguridad son reportados a las compañías correspondientes. Esto, luego podemos debatir, conceptualmente es una buena técnica para descubrir los fallos posibles y conocerlos antes de que alquien saque provecho de una vulnerabilidad. La profesión de la Informática en la Sociedad Actual

Cuestiones de análisis Efectos colaterales del white hacking Económicos, morales Dilema moral: ¿Te fías de un hacker de alquiler? La profesión de la Informática en la Sociedad Actual

Cuestiones de análisis ¿Quién desarrolla los antivirus? ¿Por qué no tiran Internet? Anonymous … ¿Por qué no tiran Internet? Su hábitat, su entorno social, su biblioteca, su fuente de noticias, su trabajo diario, […] La profesión de la Informática en la Sociedad Actual