llaneros solitarios hackers la guerrilla informatica, Monografías, Ensayos de Diseño de Sistemas

¡Descarga llaneros solitarios hackers la guerrilla informatica y más Monografías, Ensayos en PDF de Diseño de Sistemas solo en Docsity! SOLITARIOS IMPOR TICA “Llaneros Solitarios” Hackers, la Guerrilla Informática Fernando Bonsembiante y Raquel Roberti 2 Cuando la computadora comenzó a ronronear, Wau Holland y Steffen Wernery supieron que habían logrado su objetivo. Segundos mas tarde la pantalla mostraba un mensaje; "Bienvenidos a las instalaciones VAX del cuartel general de la NASA". Wau sintió un sacudón y atino a escribir en su cuaderno: "Lo logramos, por fin... Solo hay algo seguro: la infinita inseguridad de la seguridad". El 2 de mayo de 1987, los dos hackers Alemanes, de 23 y 20 años respectivamente, ingresaron sin autorización al sistema de la central de investigaciones aeroespaciales más grande del mundo. - ¿Por qué lo hicieron? - preguntó meses después un periodista norteamericano. - Porque es fascinante. En este mundo se terminaron las aventuras, ya nadie puede salir a cazar dinosaurios o a buscar oro. La única aventura posible -respondió Steffen- está en la pantalla de un ordenador. Cuando advertimos que los técnicos nos habían detectado, les enviamos un telex: "Tememos haber entrado en el peligroso campo del espionaje industrial, el crimen económico, el conflicto este- oeste, y la seguridad de los organismos de alta tecnología. Por eso avisamos, y paramos el juego". - El juego puede costar muchas vidas... - Ni media vida! La red en que entramos no guarda información ultrasecreta; en este momento tiene 1600 suscriptores y 4000 clientes flotantes. Con esos datos, Steffen anulaba la intención de presentarlos como sujetos peligrosos para el resto de la humanidad. El hacking es una actividad no muy popular en Argentina, pero ya tradicional y muy convocante en el mundo. La palabra deriva de hack, hachar en ingles, y es el término que se usaba para describir la familiar forma en que los técnicos telefónicos arreglaban cajas defectuosas; el bueno y viejo golpe seco. La persona que realizaba esa operación era, naturalmente, un hacker. En 1959 la denominación alcanzó a los estudiantes del Massachussets Institute of Technology -el famoso MIT de los Estados Unidos-, que se reunían a través de la computadora IBM 407, una máquina a la que conocían mejor que a sus madres. En aquel tiempo, era común que ese aparato fallase por razones extrañas y las reparaciones, que solían ser esotéricas, incluían el casero método del impacto de costado, tan útil para tecnología valvular: el que nunca le pegó a uno de esos viejos televisores que tire la primer piedra. O pruebe su extrema juventud. A poco de andar, los pioneros elaboraron sus propias reglas, que aun hoy se consideran básicas aunque no haya Colegio de Hackers ni Consejo Profesional. Las más conocidas son las que Steven Levy dicta en su libro Hackers, Heroes of the Computer Revolution (Hackers, Héroes de la Revolución Informática), un clásico en la definición del hacking: * El acceso a las computadoras -y a cualquier cosa que pueda enseñarte algo acerca de la forma en que funciona el mundo- debe ser total e ilimitado. * Apelar siempre a la imperativa: Manos a la obra! * Toda información debe ser libre y/o gratuita. * Hay que desconfiar de la autoridad. Hay que promover la descentralización. 5 * Los hackers deberán ser juzgados por sus hackeos, no por falsos criterios como títulos, edad, raza, o posición. * En una computadora se puede crear arte y belleza. * Las computadoras pueden cambiar la vida para mejor. Las Primeras Truchadas ----------------------- En 1876 Alexander Graham Bell creo el teléfono y el mundo cambió. Claro que no de un día para el otro. En los primeros tiempos, los norteamericanos vieron en ese aparato imprescindible un juguete estrafalario para escuchar música, porque cuando Bell hizo la demostración pública de su invento transmitió por las líneas unos acordes que su ayudante, instalado exprofeso a cientos de quilómetros de distancia, tocó en un piano. Las personas no concebían entonces, que se le pudiera hablar a un aparato y les costó comprender que se trataba de hablar con otro por teléfono. El inventor fundó la compañía Bell Telephone y se dedicó a producir y vender sus aparatos a pesar de la Western Union, empresa de telégrafos -esa que aparece en las películas de cowboys- que se esforzó por desmerecer a su nuevo competidor, el teléfono, y difundir las supuestas bondades de la telegrafía. En enero de 1878 un terrible accidente ocurrió en Tarriffvile, Connecticut: un tren descarriló y causó cientos de heridos. En medio de la confusión y los insuficientes auxilios, alguien llamó por teléfono a los médicos de la cercana Hartford, quienes acudieron de inmediato para atender las víctimas. El extraño aparatejo logró fama súbita y absoluta; la Bell no podía casi cumplir con las toneladas de pedidos que recibía. En el término de doce años pasó de Boston a Nueva Inglaterra; y en 1893 estaba en Chicago y en 1897 en Minnesota, Nebraska y Texas. En 1904 ya se había desparramado por todo el continente. A principio de los 60 casi todas las grandes empresas instalaban costosas computadoras que ocupaban habitaciones y hasta edificios enteros (mainframes); en las universidades se enseñaba el ABC informático. La Bell Telephone no fue ajena a esa renovación y los sistemas mecánicos y electromecánicos que habían reemplazado a las operadoras fueron desplazados por mainframes que controlaron de allí en adelante el flujo de las comunicaciones. Hasta que un día un técnico de la empresa le contó a un amigo cómo funcionaban los números de prueba que se utilizaban para chequear las líneas; Eran loops (líneas entrelazadas), pares de números telefónicos. - Si alguien llama al primer número de esos pares y otra persona se comunica con el segundo, terminan hablando entre sí -explicó el técnico- Semanas más tarde Mark Bernay (el alias del amigo en cuestión) divulgó el secreto que, desde entonces, permitió realizar llamados de larga distancia gratis o pagando una comunicación local. En poco tiempo las líneas de Estados Unidos, se vieron pobladas de phreakers, tal como se llamaban a sí mismos los seguidores de Bernay. La palabra deriva de phreak, una extraña mixtura de freak (monstruo, o con cariño, bicho raro), phone (teléfono), y free (gratis). El grupo sostenía que la tecnología de las comunicaciones debía estar al alcance de todo el mundo y la única forma de lograrlo era que fuera gratuita. 6 Cuando los phreakers descubrieron que la tecnología de MaBell (como llamaban a la Bell Telephone) podía brindarles algo más que el entretenimiento de llamar a sus amigos en Burkina Faso, decidieron controlar la red telefónica, desafío que requirió nuevos métodos. Si el hombre perdió el paraíso por la fruta prohibida del conocimiento, aquellos phreakers y estudiantes de ingeniería electrónica perdieron la compostura ante los grandes ordenadores de MaBell: ni siquiera intentaron resistir la tentación, solo sucumbieron de lleno a sus circuitos. Así fue como todo comenzó. En 1961 la Bell Telephone denunció el primer robo de servicio telefónico: había detectado largas llamadas a un número de información de una zona aledaña. La investigación llevo a los inspectores hacia el State College de Washington, donde encontraron una caja extraña que denominaron Blue Box (caja azul) y que reproducía los tonos multifrecuencias de la compañía. Eran doce combinaciones de seis tonos maestros y -se suponía- secretos. Pero en 1954, la telefónica había publicado las claves en una revista que se distribuía entre su personal: Tarde se dieron cuenta de que la leían todos los estudiantes y egresados de ingeniería electrónica. Los alumnos llamaban al número de información, y una vez comunicados entraba en acción la Blue Box, que emitía una señal para indicar a la central telefónica que ambos aparatos estaban en línea mientras los muchachos derivaban la llamada a un número de larga distancia. Diez años después, un articulo de Ron Rosembaum en la revista Esquire explicaba el funcionamiento de las cajas azules y quienes las usaban desde el inicio, entre ellos un enorme grupo de chicos ciegos que se comunicaban de costa a costa sin pagar un centavo. De trampear a MaBell con llamadas de larga distancia para hablar con un amigo y hacer lo mismo para hablar con una computadora había un solo paso, y los pioneros del hacking lo dieron sin chistar. Hasta ese momento la penetración en las computadoras ajenas por intermedio del teléfono era muy nueva y aun no tenía nombre, de modo que Rosembaum la llamó computer freaking para distinguirla del phreaking telefónico. Hecho en Casa ------------- Cuando Oak Toebark leyó el artículo de Rosembaum decidió fabricar sus propias cajas azules, venderlas en sociedad con su amigo Berkeley Blue y, con el dinero que ganaran, comprar una computadora igual a la que operaba en las oficinas de Hewlett Packard. Si bien tuvieron un relativo éxito, las ganancias no alcanzaron. - Voy a construir una -aseguro Oak ante la perplejidad de Berkeley- . Ocupó casi un año de su vida en lograr su ordenador personal (nunca tan bien aplicada la definición) y cuando consideró que estaba listo, en 1976, lo presentó al Homebrew Computer Club (Club de Computadoras Caseras), del que era miembro. - La tienda nos hizo un pedido de cincuenta mil dólares- anunció a los pocos días Berkeley, encargado de las ventas. 7 se asocian a los estudiantes del MIT que alcanzaban a ver la promesa de una vida distinta del otro lado de la pantalla y que peleaban en el límite de la tecnología y sus propios cerebros. Pueden convertirse en "cowboys" si se quiere reactualizar el mito americano de individualidad y supervivencia en una frontera violenta y sin ley. Pero cuando la red Internet quedó paralizada temporalmente por un programa que introdujo un hacker, se convirtieron en "tecnoterroristas", una visión acentuada por los medios de prensa que presentaron el caso como una catástrofe. Y si entra en juego el "vasto océano de internet" también dan el perfil de "piratas" relacionados con el comercio de información. Hackin Bey, teórico anarquista destacó la posible similitud entre una nueva cultura nómada y anarquista -producto de la rapidez en los cambios del mundo tecno- con la existente en el 1800, época de verdaderos piratas. Bruce Sterling, escritor Ciberpunk desarrolló la idea mejor que nadie en su novela Islas en la Red: los hackers forman una comunidad de una isla para escapar de las leyes que restringen su actividad y se dedican a la compra-venta de información. Son piratas en el más puro sentido del término y el título de la versión en portugués -piratas de datos seria su traducción- da la real dimensión del argumento. Los Tiger Team (Equipo de tigres) alquilan su conocimiento para chequear las fallas de seguridad de diversos sistemas, por lo que son vistos como "informantes de seguridad". Y por último, pero no menos importante, está la idea de son "cyborgs", mezcla de robot y humano, los primeros en comprender que la especie está cerca de desaparecer en el cyberespacio, donde se borrarán los límites entre la máquina y el hombre. Es una figura más política que pelea el poder con el gobierno para que no domine ese nuevo mundo. La comunidad hacker tiene otra visión de sí misma y comparte muy pocos elementos de estas fantasías populares. El New Hacker's Dictionary (Nuevo diccionario del hacker, una compilación de las palabras usadas por ellos, a cargo de Eric Raymond) los describe como inteligentes, intensos, abstraídos e intelectualmente abiertos. Se interesan en cualquier sujeto que les pueda proveer estimulación mental y es común que tengan una afición extrema al hacking, en la que se desenvuelven más que competentemente. Les encanta el control pero no en forma autoritaria sino sobre cosas complicadas, como las computadoras. Se apasionan por lograr que esas máquinas sean instrumentos de lo interesante, siempre y cuando se trate de sus propias ideas y no de una orden de alguien. No les gusta las pequeñas tareas diarias que llevan a mantener una existencia normal; por ello, si bien son ordenados en sus vidas intelectuales, son caóticos en el resto. Prefieren el desafío del conocimiento a una recompensa monetaria por un trabajo. Curiosos Profesionales ---------------------- La casa es una vieja construcción en el centro de Buenos Aires. El Chacal baja del ascensor andando sobre patines, abre la puerta y saluda. Tiene el pelo largo, viste ropa de estilo militar y cuelga sobre su espalda una mochila con luz intermitente "para que no me lleven por delante los idiotas de los autos", explica. Es un pionero del hacking en el país. - ¿Qué motiva a un hacker? 10 - Muchas cosas, pero sobre todo la curiosidad. Si en el mundo todas las personas fueran conformistas, no avanzarían. Si fueran todos curiosos o aventureros, se extinguirían. El equilibrio está en la existencia de un quince o veinte por ciento del segundo grupo. - ¿Y para qué sirven? - El curioso cumple un rol de vanguardia: muere intentando descubrir algo o permite el acceso del resto a una situación. Cuando ve algo distinto, se pregunta qué habrá mas allá y no se detiene hasta averiguarlo. Asume el riesgo solo, pero si le va bien se benefician los demás. - ¿Cómo? - Una vez que tiene la respuesta vuelve al grupo con la novedad, los hace partícipes de su descubrimiento y de los beneficios que ello acarrea. Siempre habrá algo que lo haga regresar a la comunidad: un amigo, una novia, puede ser cualquier cosa. Este proceso es tan antiguo como la humanidad, solo que ahora se usa una nueva herramienta, la computadora, en este caso para el cerebro. - Descrito en esa forma, ¿No se constituye en uno de los últimos costados románticos de la década? - Sí, somos románticos. Recuerdo que nos gustaba decir que éramos "Los caballeros de las redes". Curiosidad y romanticismo son solo dos de las tantas características que distinguen a los hackers de los demás mortales. Por la profunda dedicación que brindan a su hobby, es fácil asociarlos y hasta confundirlos con aquellos "tragas" del secundario. Guy L. Steele, en The New Hacker's Dictionary (Nuevo diccionario del hacker) observa: "Una de las razones de esta asociación es que un hacker realmente dedicado a su tarea no hace otra cosa más que dormir, comer, y hackear. Algunos se levantan a la hora de cenar, y se acuestan después del desayuno. Contradiciendo la creencia popular de que son personas solitarias, los hackers tienen amigos. Amigos humanos. Por el tiempo que se comparte y por el trabajo en red, la computadora hace posible una nueva modalidad de computación, que resulta mejor que el teléfono y el correo juntos. Cuando me casé envié invitaciones a mis amigos hackers, pero como me conocían por mi login (Identificación del usuario) y no por mi verdadero nombre, las leyeron y se preguntaron "¿Y estos quienes son?". Tengo otro amigo con el cual conversé durante años a través de una red y no supe que era sordo hasta que nos encontramos frente a frente. Esto demuestra que en el hacking no importa cómo sos o cómo te llamás, sólo interesa lo que pensás y decís". "La computadora unifica, socializa. Nadie se pregunta si sos negro, verde, o amarillo", escribió el norteamericano Emmanuel Goldstein hacker prócer y editor de la revista 2600, The Hackers Quarterly. Las circunstancias en que el hacking debe ser llevado adelante lo convierten en una actividad exigente. En general es un hobby nocturno que se realiza después de las obligaciones diarias -estudiar o trabajar-, porque para utilizar la computadora de otra persona o de una empresa, debe esperarse a que esté desocupada. En los horarios en los que el resto de la gente se encuentra para disfrutar del tiempo libre, ellos prefieren estar ante una PC intentando alguna conexión. Pocas veces se reúnen para sesionar en grupo: el manejo de un ordenador es individual y requiere de una gran concentración. Deben tener profundos conocimientos técnicos, lo cual no es sinónimo de haber estudiado una carrera relacionada con la computación ni haber asistido a cursos especializados; lo que saben es producto de una experimentación permanente ante una pantalla, de la lectura de cuanto manual cae sobre sus escritorios y del ingenio, la picardía y la lógica para saltar las barreras de seguridad que presentan los sistemas. A veces pecan de soberbios. 11 - Si tenés cincuenta mil dólares no los llevás en el bolsillo ni andás por la calle con ellos, ¿no?, porque no querés que te roben. Bueno, esto igual: si no querés que te usen la computadora protegela - dice Opii, otro nacional. - Alguien que usa la computadora para su trabajo no tiene por qué saber tanto de computación como los hackers. ¿Debe correr el riesgo permanente de que algún día le desaparezcan o se estropeen sus archivos? - ¿Vos nunca hacés copia de seguridad? No perdonan la ignorancia de un oficinista ni la ingenuidad de una secretaria. La naturaleza de las excursiones que realizan los lleva a vivir en situación de riesgo cotidiano, ya que en cualquier momento pueden ser descubiertos (aunque no siempre identificados, ya que todos utilizan alias). La mayoría se inclina por la música heavy metal y las emociones fuertes, como el aladeltismo o el salto en paracaídas. Constituyen un grupo quizá marginal y que en sus orígenes demostró su desprecio por los códigos sociales usando pelo largo, vaqueros y sandalias en cualquier circunstancia. Hoy las reglas del aspecto no son tan estrictas y se permite cualquier vestimenta, siempre y cuando haya un toque estrafalario. Opii parece un muchacho común: tiene el cabello corto, y llega a las citas con vaqueros, zapatillas y una remera. Pero elabora una pose llamativa: habla poco y en forma pausada, sonríe menos, contesta ambigüedades, y deja la sensación permanente de que oculta algo esencial. Uno de sus amigos, Janx Spirit calza botas, usa campera negra de cuero, lleva el pelo largo pero con las sienes rapadas y se deja crecer la uña del pulgar izquierdo. Cuando se juntan más de tres se los puede confundir con una banda de rock; algunos de ellos en verdad tocan instrumentos musicales. Son pocos los que pasan los 25 años: la franja más amplia va de los 17 a los 23 y por lo general estudian carreras relacionadas con computación, matemáticas, ingeniería o electrónica. Los que llegan a los treinta sin abandonar la actividad mantienen una actitud adolescente y alternan entre las responsabilidades del mundo adulto y los juegos de la infancia. Emmanuel Goldstein comenzó a hackear cuando tenia diecisiete años; hoy anda por los treinta y es uno de los referentes más visibles del hacking norteamericano. - ¿Trece años no es mucho tiempo para hacer siempre lo mismo? - La tecnología cambia permanentemente: no hay manera de aburrirse, siempre encontramos un nuevo juego. Ser hacker es tomarse todo el tiempo del mundo para jugar e inventar. En general, entre los veinte y treinta años la mayoría deja de ser hacker porque piensa en sentar cabeza y decide que no tiene tiempo para jugar. Es una pena. De Hippies a Empresarios ------------------------ El hacking nació como un movimiento tecnológico antisistema, con raíces en los que revolucionaron la década del 60: la anarquía (la YIPL, una línea del radicalizado partido internacional de la juventud, publicó la primera hoja secreta de divulgación del phreaking); el hippismo, de donde toma el uso frecuente de drogas; la contracultura, que le marcó el gusto por la música heavy metal. Con estos datos no 12 Una buena fuente de handles es la misma tecnología, pero siempre con un toque literario. En Buenos Aires, actúa Logical Backdoor: un backdoor es una puerta trasera para entrar en un sistema sin usar los procedimientos legales u oficiales, y en general la usa el programador para hacer algún tipo de mantenimiento. En los Estados Unidos, uno de los hackers mas famosos, compañero de Goldstein, es Phiber Optic (Fibra óptica), el componente más moderno de las líneas digitales de telefonía. En la revista 2600 colabora Silent Switchman: un switchman es el encargado de manejar los interruptores telefónicos, un técnico especializado. Estos seudónimos a veces reemplazan al nombre original. Hasta sus amigos mas íntimos llaman Emmanuel a Eric Corley y nadie, salvo las autoridades de la cárcel y su madre, recuerda que Phiber Optic es Mark Abene. Las organizaciones de hackers eligen sus nombres con criterios similares. La primera que se conoció en el país fue PUA, Piratas Unidos Argentinos, y en estos días funciona -aunque ellos prefieren considerarse "un grupo de amigos"- una segunda, HBO, un homenaje a las (malas) traducciones del canal de cable HBO Olé. Phrack inc., Anarchy inc., American Tone Travelers, Hackers of America y Phortune 500 son algunos de los grupos hackers de Estados Unidos que aparentan ser grandes corporaciones. Otros simplemente prefieren mostrarse como malos, malísimos: League of Doom (los enemigos de Superman según la historieta), Bad Ass Mother Fuckers (algo así como reverendos hijos de puta), Chaos Computer Club de Alemania (Club del Caos) o Masters of Deception (Maestros del Engaño). Ética ----- - Sigo creyendo que la información y la tecnología deben ser libres, estar al alcance de cualquiera - opina El Chacal. - El gobierno dice "confíe en nosotros" y nosotros decimos "de ninguna manera" - sostiene Goldstein. - En los datos de un censo yo no voy a leer lo mismo que un político. Entonces ¿por qué esas cifras no están a mi alcance? -se pregunta Backdoor. Liberar la tecnología de los controles del estado y de la industria y ponerla al alcance de todos -algo que obviamente no sucede en este universo propietario y comercial- es el objetivo reconocido aun hoy por la mayoría de los hackers y la razón que esgrimen siempre que necesitan justificarse. Es simplemente el primer punto de aquellas reglas de Levy: "El acceso a ordenadores y cualquier cosa que pueda enseñar cómo funciona el mundo debería ser ilimitado y total (mira pero no lo toques)", que aun rige a los hackers auténticos y vocacionales, sobre todo el paréntesis. No tocar ni alterar los datos de los sistemas en que ingresan es una cuestión indiscutible y se juegan el honor y la maestría en ello. Forma parte de un código ético que casi todos se afanan por respetar y que los diferencia de los que utilizan la computadora como herramienta para concretar un delito como estafa, robo o defraudación. A pesar de los esfuerzos de estos llaneros solitarios, y en buena medida por responsabilidad de los medios de comunicación, es común que se llame hackers a todos por igual, confundiendo actividades y objetivos. La mezcla no es en absoluto insensata, ya que unos como otros aprovechan debilidades de los sistemas operativos, las fallas en la seguridad, la filtración de información o la ingenuidad de 15 los operadores y clientes en el momento de elegir una clave identificatoria (password), para ingresar subrepticiamente en esos sistemas. Cuando se produjo el robo en la caja fuerte en la sede de la OTAN, los agentes federales descubrieron que el ladrón adivinó la combinación cuando vio una foto de Sophia Loren sobre la caja: las medidas de la actriz eran la clave. Michael Synergy (quien cambió su apellido legal por su alias) ingresó a mediados de los 80 –tal como era de costumbre en esos días- en la agencia de crédito nacional estadounidense TRW, que contiene información sobre unos ochenta millones de ciudadanos, con la idea de husmear en el fichero del entonces presidente Ronald Reagan. En su vagabundeo por los registros descubrió algo que le llamó la atención: cerca de setecientas personas con historiales de crédito extraños que parecían tener una tarjeta específica. Synergy sospechó que se trataba del programa de protección de testigos del gobierno y notificó al FBI del agujero negro en la seguridad del sistema, ya que allí se encontraban los nombres y las direcciones de los protegidos. Lo hizo a riesgo de tener que afrontar las consecuencias de su ingreso ilegal en la TRW. La diferencia entre una actitud y otra es lo que delinea ese código ético de los verdaderos hackers. En abril de 1990 los Estados Unidos organizaron un debate a través del WELL (Whole Earth 'Lectronic Link una red con base en California) para responder a tres preguntas sobre el tema: ¿Es un delito ser hacker?, ¿Cuáles son los límites de libertad y la propiedad privada? y ¿Existe una ética del hacker? A lo largo de once días, se intercambiaron algunas de estas intervenciones. Adelaide (Seudónimo. Hoy es programadora de una corporación estatal): "Las computadoras son poder, y el contacto directo con el poder puede sacar afuera lo mejor o lo peor de una persona. Es tentador pensar que cualquiera que tome contacto con la tecnología puede lograr una enorme inspiración, pero, ay, ay, eso no es así". Lee (Felsestein. Diseñó la Osborne 1 y cofundó el Homebrew Computer Club): "En algún lugar existe la Dínamo de la Noche, el ultramecanismo que espera ser soñado y que nunca podremos traer a la actualidad, pero que se hace realidad en algún lugar cerca de esos juegos mentales. Cuando vuelvo a emerger a la luz del otro día con el dibujo sobre el papel -y sabiendo que aunque vuelvan a aparecer las cosas nunca serán las mismas- yo sé que estuve en el lugar donde van los artistas. Eso es ser hacker para mí: trascender en las custodias y engancharse en la creatividad para el propio beneficio, pero también crear efectos objetivos". Emmanuel (Goldstein): "¿Llamar a alguien por teléfono no equivale a golpear la puerta de esa persona?. Error. Cuando alguien contesta el teléfono, vos estás fuera de su casa; lo mismo con el contestador o una PC conectada a la línea. No es correcto violar la privacidad, y el escudriñamiento electrónico no es igual a violarla y entrar. La clave es que mucha gente no sabe qué fácil es para los otros invadir su privacidad electrónica y espiar sus tarjetas de créditos, sus cuentas de teléfono, sus prontuarios, etcétera. Si tuviéramos un público educado, pensante, quizá nunca se hubiera permitido que llegaran a existir las bases de datos inmensas, ahora tan comunes. Los hackers podemos caer en una trampa: descubrimos los agujeros del sistema y luego nos culpan por esas fallas. La casa de un particular es mucho menos interesante que el Departamento de Defensa; son las instituciones las que tienen acumuladas montañas de datos sin nuestro consentimiento". Barlow (John Perry. Ganadero retirado, ex presidente de la junta republicana de su condado y letrista de Grateful Dead): "En Wyoming las armas de fuego forman 16 parte del mobiliario y es común ver una calcomanía de contenido político: "Témele al gobierno que teme a tu revolver". Asumiendo el riesgo de que parezca exagerado, yo digo: "Témele al gobierno que teme tu computadora". Dave (militar de West Point retirado): "El público está en ascuas y lleno de temor frente a los misterios que manejan los nuevos sacerdotes de la nueva religión norteamericana: las computadoras. Reacciona del mismo modo como toda vez que el miedo lo lleva a enfrentarse con lo desconocido: Desea destruirlo, quemarlo en la hoguera. Los hackers son como los cristianos primitivos: Cuando se los atrapa se los envía a la arena para que los devoren los leones". Fue justamente uno de los participantes de este debate, Lee Felsestein, quien definió un nuevo conjunto de reglas para el hacker. Las presentó el 4 de agosto de 1989 en Amsterdam, Holanda, cuando se celebró la primera reunión internacional de hackers, la Galactic Hacker Party, en un centro cultural de moda, El Paradiso. La declaración propuesta por Felsestein y aprobada por unanimidad de los asistentes a la fiesta decía: Considerando que: La sociedad democrática está basada en el derecho de todos a acceder a la información pública y el derecho de asociarse libremente, y que en años recientes, se han desarrollado estructuras técnicas para manipular esa información, las cuales obscurecen la accesibilidad a esa información a través de la complejidad, y que esas estructuras técnicas también sirven para aislar a la gente y para anular su derecho de asociación, AFIRMAMOS Y DECLARAMOS: * El derecho a descubrir no solamente toda la información pública, sino también el funcionamiento de los mecanismos por los cuales esta información es recolectada y procesada; * La responsabilidad de evitar dañar a otros mientras ejercitamos este derecho de descubrimiento, y * El derecho y responsabilidad de compartir el conocimiento y las habilidades que sirven para revelar la función de los mecanismos de procesamiento de información, mientras guardamos estrictamente la confidencialidad de la información que ha sido confiada o entregada a dichos mecanismos por partes privadas. Decimos NO a la sociedad de la información, SI a una sociedad informada. LOS PRÓCERES ============= Put another password in Ingresen otra password Bomb it out and try again si la rechaza, vuelvan a intentarlo. 17 - Bueno, pibe, bienvenido. Ahora nos vas a contar cómo es eso que hacés- lo saludó uno con cara de pocos amigos en la primer oportunidad. - ¿Para qué quieren saberlo? Acá no les va a servir de nada- contestó Crunch en un alarde de valentía. - No te preocupes por lo que no te importa. Solo tenés que hablar sin preguntar. - Sí, cómo no. Ni lo sueñes... Con los labios partidos, un ojo negro y algunos moretones más, Cap' Crunch eligió al interno más corpulento como su protector y tarde tras tarde le enseñó los métodos para engañar a MaBell. Hasta el día de hoy, Crunch sostiene que aquellos mafiosos todavía sacan provecho de sus clases. Al salir de la cárcel se integró a la People's Computer Company (PCC), cuyo objetivo era desmitificar los ordenadores y, ante el surgimiento de las máquinas personales, derivó a Homebrew Computer Club inaugurado el 5 de marzo de 1975. De allí salieron los dos Steve que fundaron Apple, para cuyas máquinas Crunch creó el Easy Writer, uno de los primeros procesadores de textos, que luego comercializó IBM con gran éxito. Lo diseñó en 1979, mientras cumplía una segunda condena por phreaking en la prisión de Pennsylvania, con la ayuda de una computadora y en las horas de su programa de rehabilitación. Equipados --------- Hubo otros capitanes que comandaron las tropas en la época en que phreackers y hackers comenzaron a fusionarse. A principios de los años 70 Ian Murphy pinchaba líneas telefónicas para escuchar conversaciones ajenas y hacía del trashing su actividad cotidiana. Trash significa basura, y revolver en ella era una fuente de información invalorable: siempre aparecían papeles con datos jugosos (números de teléfonos, códigos, y hasta passwords). Con su primera computadora pasó días y noches conectándose con cuanto modem lo atendiera y hackeando todo el sistema que se cruzara en su camino. En 1979 cuando Crunch cumplía su segunda condena, ya se había convertido en Capitán Zap (por un programa que evitaba la protección de softwares contra copias piratas, el Super Zap) y junto a su amigo de correrías infantiles, Doctor Diode, ingresó en el sistema de la agencia de crédito norteamericana. - Uy, uy, uy! Mira esas cuentas! Estos tipos tienen la calificación más alta para créditos -se estremeció Diode- Están llenos de plata. Zap alzó el hombro y con un dejo de desprecio sólo murmuró: - Nosotros también podemos estar ahí... Sin demoras registró en unos archivos del sistema una falsa corporación, solvente como ninguna. Tener una cuenta disponible sin límite de compras y no sacarle provecho es una estupidez, de modo que pensaron en darle un uso. Cuando se filtraron en el sistema de un comercio de computación tuvieron la respuesta. - A ver, Diode... ¿Te gusta una Hewllett Packard? -preguntó Zap, mientras miraba en la pantalla la lista de productos. 20 - Y... podría ser. ¿Tiene impresora? - Claro, viejo. ¿Qué pasa? ¿estás cuidando el centavo? y unos handys tampoco estarían mal, ¿no?. Con los artículos elegidos, Zap generó la factura correspondiente, el recibo y la orden de entrega con la dirección de un correo secreto. A primera hora de la mañana siguiente, el empleado de expedición sacó de la computadora todas las órdenes de entrega y envió a cada quien su compra. Para el proveedor todo estaba en orden, descubrirían la falta de dinero recién en el momento de hacer el balance. Cap' Zap y Diode recibieron el primer pedido y de allí en más se dedicaron a "comprar" gran cantidad de artículos de computación. Lo hicieron durante dos años y agrandaron la compañía con el ingreso de tres nuevos amigos, pero en 1981 la policía comenzó a investigar a raíz de las denuncias del comerciante y los cinco fueron detenidos. Tres de ellos se declararon culpables y colaboraron con la investigación para reducir sus penas; Zap y Diode contaron con la defensa de dos de los mejores abogados de la zona. El padre de Ian -Zap- era propietario de una compañía naviera y no le costó demasiado contratarlos. - Ningún jurado entenderá jamás lo que hiciste y ningún jurado te condenará jamás por haber burlado a la compañía telefónica- aseguró a Cap' Zap uno de los profesionales. El tribunal se encargó de darle la razón, y a tal punto los jueces no comprendieron de qué se trataba que les impusieron una multa de mil dólares y los condenaron a dos años de libertad vigilada... Por teléfono! Ian Murphy fue el primer hacker perseguido por la ley en los Estados Unidos y el caso hizo que se estudiaran nuevas leyes en cuanto a delitos informáticos, aunque recién en 1986 se votó la primera. Las Reuniones Iniciales ----------------------- Cuando MaBell instaló el sistema de llamadas en conferencia, los phreakers tomaron la costumbre de reunirse en una línea en desuso en Vancouver para conversar entre ellos. La nueva forma de aventurarse requería algo más que un teléfono y así siguieron los Bulletin Board Systems (BBSs), una computadora conectada a un modem -aparato que traduce los impulsos digitales del ordenador en señales telefónicas y viceversa, para permitir que dos máquinas se conecten entre sí- que funciona como centro de información y canal para mensajes entre los usuarios. Es posible que el primero naciera en febrero de 1978 por idea de Ward Christensen y Randy Seuss, quienes generaron de ese modo la primer instalación que puede considerarse en red (enlazadas entre sí) de computadoras personales. Pero no fue sino hasta 1983 que los BBSs proliferaron como langostas. La película Juegos de Guerra actuó entre los amantes de la computación como un disparador: para fines de 1984, un relevamiento en los Estados Unidos detectó aproximadamente 4000 instalaciones de ese tipo. En poco tiempo evolucionaron hasta convertirse en verdaderos bancos de datos en los que se podían encontrar desde números telefónicos hasta manuales y revistas digitales con todas las novedades y comentarios sobre el sistema. Las publicaciones especiales para phreakers comenzaron con la legendaria hoja del YIPL y no pasaron hasta llegar a los hackers. La aparición del primer número de una revista impresa data de 1984 y hoy 2600 The Hackers Quartely (En alusión a los 2600 ciclos de las líneas desocupadas) es la más importante en su tipo. Su director, Eric Corley (más 21 conocido como Emmanuel Goldstein), phreaker enamorado de los teléfonos públicos. Mientras tanto, al otro lado del atlántico los hackers de Inglaterra comenzaban a actuar y los pioneros no sumaban más de una docena. Triludan, The Warrior (El guerrero) y Steve Gold, un periodista de 25 años a quien la amistad con Cap' Crunch había introducido en el phreaking, acostumbraban reunirse en un restorante chino para intercambiar sus descubrimientos. había aprendido los rudimentos de la computación en el colegio, ya que el gobierno británico apostaba a los ordenadores como el futuro de la sociedad. - Anoche entré a Prestel- anunció Triludan en voz baja y excitada. - Buenísimo! Por fin! ¿Cómo fue? - pregunto Gold. - La verdad, fue sin querer. Ya no sabia qué poner cuando me pedía la identificación (Id) y acerté repitiendo diez veces el numero 2. Y la clave, no me vas a creer, es todavía más fácil: 1234. Prestel era una red informativa de compras y mensajes creada por la GPO a principios de los 80 y Triludan había accedido a un sistema de prueba, el primer escalón. Insistió con las combinaciones una vez por semana hasta que encontró un ID y una password que correspondía al sysman (system manager, administrador del sistema); recién entonces pudo recorrer el sistema a gusto y modificar los datos de las pantallas y los informes. - Mira, acá esta el cuadro comparativo de monedas -señaló Steve una noche mientras se divertía con Prestel. - Ahá. Podríamos tocar algo, ¿no? -pregunto Triludan sin esperar respuesta- A ver, una libra igual a... cincuenta dólares. Fueron unas horas gloriosas para la economía inglesa, al menos en las pantallas de los usuarios de la red informativa. Esa misma noche entraron en la cuenta del correo de su alteza real el Duque de Edimburgo, el Príncipe Felipe, y dejaron un saludo cordial firmado por "S.A.R., El Hacker Real". Pero la huella que desató la investigación de Prestel fue la modificación de la primera pantalla que indicaba los pasos para continuar utilizando el sistema. Prestel utilizó monitores para controlar sus líneas y seis meses después, el 10 de abril de 1985 la policía detuvo a Steve Gold y a Robert Schifreen, rebautizado Triludan por la marca de los antihistamínicos que consumía. Este fue el primer intento en el Reino Unido de perseguir el hacking. Ambos amigos fueron acusados de falsificación y juzgados con la advertencia del juez que intervino en el caso: "No se trata de un asesinato -manifestó- pero es un caso muy importante, que va a sentar un precedente". Los condenaron a abonar multas y costas por un total de mil quinientos dólares, pero Lord Lane, presidente del Tribunal Supremo al cual apelaron, determinó que copiar contraseñas no estaba incluido en la ley de falsificaciones vigente en Gran Bretaña y revocó la medida. Gold y Triludan admitieron el hacking pero no la falsificación y el fallo favorable resultó confuso: los hackers y phreakers dieron por sentado que lo que hacían no era delito. En Connecticut, Estados Unidos, la historia trazaba un paralelo. - Habla John Velmont. Quiero realizar una denuncia. Recibí el resumen de mi tarjeta de crédito y figura la compra de un articulo de electrónica que no hice. 22 Para la KGB ----------- Peter Kahl tenía por entonces treinta y cinco años. Era un oscuro croupier en un casino de Hannover que ignoraba todo sobre computación; todo excepto la existencia y el accionar de los hackers. había estado en una reunión en Hannover y allí comenzó a diseñar un plan para salir de su vida oscura: armar a un grupo de hackers que lograra información de la industria militar y defensiva del Occidente para vendérsela a la Union Soviética. Karl Koch había gastado la herencia de sus padres comprando estimulantes que lo ayudaban a superar la depresión pero impactaban su cabeza; después de leer la trilogía Illuminatus!, de Robert Shea y Robert Anton Wilson, decidió que su alias seria Hagbard, convencido que las conspiraciones dominaban el mundo. Además de las drogas se interesaba solo en el hacking. Cuando Karhl se le acercó en la reunión de Hannover, estaba dispuesto a ser parte de la banda de espías. Los primeros dólares -inmediatamente invertidos en LSD, cocaína y haschisch- llegaron para Hagbard fácilmente: vendió software de dominio público y programas que había copiado sin costo de los BBSs a los que tenía acceso. Pero los soviéticos conocían aquello de "el primero te lo regalan, el segundo te lo venden". - El Pentágono, la NORAD, el MIT, la NASA- calculó Peter Karhl – y también Philips France. Bueno, la lista es bastante completa. Vas a tener que moverte para conseguir los códigos. - Pero todos esos tienen VAX y yo no los conozco- protestó Hagbard - Querido, si no hay datos, no hay plata. Y si no hay plata no hay drogas ni nada. No lo digo yo, lo dicen los de la KGB. ¿Un consejo? Empezá ya mismo a moverte. Hagbard necesitaba ayuda y decidió visitar el congreso anual que organizaban los del Chaos de Hamburgo. Allí estaba Pengo en realidad Hans Hubner, un adolescente de dieciséis años que conocía todos los defectos del VAX y con quien compartía el gusto por las drogas. Unas pocas palabras alcanzaron para integrarlo a la sociedad aportando un programa -cedido por Steffen Weihruch, renombrado como "el genio de los VAX" y asiduo asistente a las reuniones del Chaos -que capturaba login y passwords de los sistemas VMS. - Hagbard, muchacho, del otro lado de la cortina quieren datos sobre UNIX -solicitó Kahl al poco tiempo. - ¿Qué? ¿Nunca se van a conformar? -se quejó Hagbard -. No tengo idea de cómo es eso. UNIX es un sistema operativo que funciona en casi todas las computadoras y por entonces estaba en auge, aun para las VAX. Hagbard no tuvo más remedio que concurrir a las reuniones del Chaos y esta vez la providencia lo acercó a Marcus Hess, empleado de una empresa especialista en UNIX. Tan adicto a los coches deportivos como Hagbard y Pengo a ciertas sustancias químicas, Marcus no opuso demasiada resistencia y pasó a formar parte del grupo. Con su incorporación y los datos que brindó, los espías ganaron dos mil quinientos dólares, toda una fortuna para esa banda de marginales. Mientras Hagbard y compañía hackeaban para la KGB, Bach y Handel, dos adolescentes identificados como VAXbusters (rompe-VAX), descubrieron tres 25 máquinas de ese tipo en red instaladas por SCICON, una de las compañías de software más importantes de Alemania. Cuando intentaron entrar teclearon lo primero que se les ocurrió ante el pedido de identificación y un mensaje de "error" apareció en la pantalla. - Dale enter- sugirió Bach -quizás nos deja intentar de nuevo. - OK. ¿qué?!- exclamó Handel - nos dio paso, mira! Ahora nos pide la password. - Dale enter otra vez! Es un bug, seguro. Bach tenía razón. La máquina tenia un error de configuración, bug (insecto, bicho) en la jerga. Los VAXbusters estaban dentro del sistema. Steffen Weihruch, espías y adolescentes eran demasiadas manos en un plato y las investigaciones comenzaron. La primera pista surgió en 1986 en los laboratorios de investigación espacial de Lawrence Berkeley, California. Clifford Stoll, astrónomo empleado de los laboratorios, denunció que personas no autorizadas habían intentado obtener datos con códigos tales como nuclear, ICBM, Starwars o SDI. En 1987 Roy Omond, director de un sistema VAX en Heidelberg, descubrió los verdaderos nombres de los VAXbusters y los publicó en un mensaje al resto de los usuarios de la red europea SPAN. Cuando Bach y Handel se vieron descubiertos los ganó el miedo y recurrieron al consejo de los miembros del Chaos, de quienes eran amigos. Por intermedio de un tercero, los hackers profesionales consiguieron que los servicios secretos alemanes -en conjunción con los técnicos de la Digital Equipment- acordaran una entrevista con los chicos bajo promesa de no tomar represalias legales. Los VAXbusters prepararon un informe minucioso con todas las cerraduras que estaban en su poder: habían entrado en diecinueve centros de la NASA a través de SPAN, entre los que Philips no figuraba. Ya en la reunión demostraron ante cámaras como lo hacían e instalaron un "parche" para arreglar el bache en la seguridad. El video se difundió por la televisión y la investigación quedó prácticamente cerrada. Pero Philips de Francia estaba dispuesta a perseguirlos (también a los del Chaos), convencida que eran los responsables del espionaje en la empresa. En SECURICOM, feria internacional de seguridad en comunicaciones que se realiza en Francia, detuvieron a Steffen Wernery, quien se había ofrecido para conferenciar, y lo mantuvieron encarcelado tres meses, tiempo que demoraron las autoridades francesas en aceptar su declaración de inocencia. La confusión de Philips era comprensible. Tanto los VAXbusters como Weihruch y el grupo de espías usaban las mismas técnicas para hackear, en tanto Wernery sólo había sido mediador y cara visible en las explicaciones televisivas después de la conmoción que causó el caso de Bach y Handel. Mientras Wernery sufría cárcel en Francia, los responsables del espionaje seguían en Alemania, sanos y salvos de la legislación francesa pero preocupados por los allanamientos y arrestos de miembros del Chaos y por la creciente presión de la KGB, que se endurecía en los pedidos y plazos. En el verano de 1988, Pengo y Hagbarg pensaron sacar provecho de una amnistía en la ley de espionaje para aquellos que colaboraran con los investigadores y no registraran antecedentes. Amparados en ella se declararon espías y fueron testigos de cargo en el juicio contra Hess y Kahl. Alexander Prechtel, portavoz de la fiscalía federal alemana, confirmó a través de la cadena de radio y TV NDR "el desmantelamiento de la red" y anunció la "detención de tres de sus miembros que operaban en la RFA y eran coordinados por dos agentes de la KGB". Hess fue condenado a veinte meses de prisión y una multa de diez mil marcos; Kahl a dos años y tres mil marcos, pero ambas sentencias se sustituyeron 26 por libertad condicional. Dos meses después del juicio el cuerpo de Hagbard apareció carbonizado. El hecho nunca pudo aclararse y fue cerrado como suicidio. Padres e Hijos -------------- El 2 de noviembre de 1988 se cumplieron cinco años desde que Fred Cohen declaró oficialmente el nacimiento de los virus informáticos. Como Cristóbal Colón y el descubrimiento de América, Cohen fue el primero en declararlos aunque no el primero en hacerlos, pero esa es otra historia. Ese día, en el laboratorio de Inteligencia artificial del MIT, las computadoras SUN con sistema operativo UNIX conectadas a Internet (red de redes mundial) empezaron a comportarse de una manera extraña. La máquina VAX de la Free Software Foundation, cuya dirección en la red era prep.ai.mit.edu, también tenía problemas. - Peter, ¿qué le pasa a las máquinas? -pregunto Mark, su compañero. - Mmm... No sé... No entiendo... Parece que hay algún proceso ejecutándose -contestó Peter-, un proceso que consume muchos recursos... El promedio de uso era 5 la última vez que miré. Ahora es de... 7.2! - Imposible. A esta hora no puede ser más de 2. Mira de nuevo. - Ahora esta en 8... Hay unos treinta procesos en ejecución, pero no veo nada anormal en ellos excepto que si trato de matarlos aparecen de nuevo. - Bueno, vamos a tener que resetear- propuso Mark mientras tipeaba los comandos necesarios para volver a arrancar la máquina. Minutos después la computadora funcionaba normalmente. Pero no duró mucho. - Mark -llamó Peter-, te tengo malas noticias... Empezó todo de nuevo! Creo que tenemos un problema grave. Ambos eran operadores de la red de Rand Corporation de Santa Mónica, a miles de kilómetros del MIT, y a las 20 horas de aquel día detectaron la primera señal de anormalidad en las computadoras. A las 22:30 los administradores del sistema de la Universidad de California, en Berkeley, pensaron que un hacker los atacaba. - Detectamos un virus en el Laboratorio de Medios -escribió en el correo electrónico a las 1:10 de la madrugada, Pascal Chenais, el MIT-; sospechamos que toda la red Internet esta infectada. El virus se propaga a través del correo, por tanto no aceptaremos ni enviaremos mensajes. - Nos ataca un virus de Internet. Ya contagió la Universidad de San Diego, Livermore, Standford y Ames -indicaba un mensaje de Peter Yee, del Laboratorio Ames de la NASA, a las 2:28. Durante esa madrugada el Laboratorio de investigación Balística de Maryland se desconectó de la red y permaneció aislado una semana. No fue el único: tantos centros clausuraron sus conexiones que el correo electrónico quedó bloqueado. A las 3:34 un mensaje anónimo desde Harvard explicaba cuáles eran los tres pasos necesarios para detener ese misterioso virus. Pero era tarde: el caos se había instalado en la red y nadie quería estar conectado. Los lugares afectados indicaban que todo había comenzado en ARPANet, de donde saltó a MILNet y de allí a Internet, que enlazaba por sí sola a más de cuatrocientas redes locales. Los equipos de técnicos pensaron que las sesenta mil computadoras conectadas por medio de 27 Fiesta Hacker ------------- En 1988 el Paradiso, un importante centro cultural de Amsterdam, organizó una conferencia con los más famosos hackers alemanes del Chaos Computer Club y hasta allí llegó en procesión un grupo de hackers holandeses, el Hack-Tic, que presentó entre los asistentes uno de los primeros números de su revista. El éxito de la reunión motorizó la intención de repetir el evento a mayor nivel: con más gente, más días, más tecnología y con hackers de toda Europa. Holanda era el lugar ideal para organizarlo: en ese momento no tenía leyes contra el hacking. La idea siguió dando vueltas. Para la Navidad del 88' Caroline Nevejan, del Paradiso, Patrice Riemens, un amigo de ella, y Rop Gonggrijp, director y líder informal de Hack-Tic, asistieron al Chaos Communications Congress, que se realiza todos los años en Hamburgo para esa fecha. Ahí, entre hackers y redes, terminó de cristalizarse la súper reunión a realizarse en el Paradiso en agosto del año siguiente: Rop sería el representante del movimiento hacker, Caroline trabajaría en el Paradiso y Patrice se ocuparía de la papelería. Necesitaban un nombre para identificarlo y optaron por Galactic Hacker Party, un juego de palabras relacionado con la serie de novelas de Douglas Adams, Guía del Autoestopista Galáctico. Su primer acuerdo fue mostrar el hacking como un movimiento social para cambiar la imagen que el público y los medios tenían del fenómeno. Pusieron mucho cuidado en hacer la lista de invitados internacionales: uno era Lee Felsestein, parte fundamental del proyecto Community Memory, en Berkeley - donde intentaban acercar las computadoras a la gente común, brindándoles una herramienta de poder- y cofundador del Homebrew Computer Club. Su presencia fue decisiva, al punto que propuso la declaración de principios que cerró el congreso. También estaba Cap' Crunch, quien fue el encargado de abrir los intercambios con otros países, haciendo gala de sus habilidades. En representación del Chaos Computer Club asistieron Hans Hubner (Pengo), Steffen Wernery y Wau Holland. La revista 2600 participó desde los Estados Unidos, y hackers de otros países estuvieron presentes por medio de las redes de datos. El titulo "formal" de la Galactic Hacker Party fue ICATA '89, International Conference on the Alternative use of Technology in Amsterdam (Conferencia Internacional sobre el Uso Alternativo de la Tecnología, en Amsterdam). El programa de actividades contempló debates sobre: * "To Byte or Not to Byte" (juego intraducible con "To Be or Not to Be"), dedicado a la relación entre el hombre y la máquina, la inteligencia artificial, la creatividad y las computadoras, la democracia por computadora, las consecuencias de los virus y la relación de los ordenadores con la tecnología. * "The Hacker in the Lion's Den" ("El hacker en la guarida del león"), en el que se habló de las relaciones entre las grandes empresas, los gobiernos y sus servicios secretos y el derecho a la información, la legislación sobre el hacking y la censura en las redes. * "The Future Behind The Computer" ("El futuro detrás de la computadora"), que trató sobre el libre flujo de la información, en especial desde el punto de vista del Tercer Mundo. 30 La apertura se realizó mediante una pantalla gigante con la imagen de Max Headroom que decía: "Simplemente corran hasta la computadora mas próxima y hackeen tanto como puedan. Creo que me estoy yendo de línea ahora". La pantalla quedó en blanco y en medio de gritos y carcajadas, los asistentes hicieron lo que Max pedía. Pero no sólo hackearon, también hablaron para ellos y para los que estaban afuera. Cap' Crunch se ocupó de criticar al gobierno del Reino Unido, volcado al estudio de nuevas leyes para castigar el hacking con hasta diez años de prisión. "Durante mi condena en los Estados Unidos -relató- fui obligado a enseñar a distribuidores de drogas y otros criminales cómo pinchar un teléfono, por eso ahora advierto que estipular que el hacking sea una ofensa criminal podría llevar a que se creen en prisión escuelas de hacking ilegales". Los gobernantes británicos hicieron oídos sordos al mensaje. Durante la conferencia sobre hacking y ética Wau Holland se dirigió con dureza a Pengo. "La información debería ser libre -aseguró-, pero no para proporcionarla a la gente equivocada. Tenemos la obligación de ser responsables. Esto lo discutimos en el Chaos y nuestra conclusión es que si se hackea una planta nuclear se puede provocar una catástrofe, de modo que la responsabilidad es enorme. Con tu comportamiento, Pengo, destruiste la confianza personal". El chico reconoció estar arrepentido, pero agregó: "No puedo cambiar el pasado. Nadie se cuestiona su ética cuando está hackeando y, por otra parte, la gente del servicio secreto no está interesada en cuestiones éticas". Holland le advirtió: "Desde ahora sos parte del juego de los servicios secretos. Sos su prisionero porque cruzaste un límite que no debías". Pero no todos los asistentes compartían ese punto de vista. Mientras se llevaba a cabo el debate, otros integrantes del congreso hackeaban el sistema telefónico holandés y el propio sistema de encuentro. ¿Qué otra cosa podía esperarse de una conferencia de hackers? Durante la fiesta, los hackers europeos descubrieron que en algunos países del Tercer Mundo tenían colegas con actividades mucho más serias que las de sus vecinos. Mientras en los Estados Unidos y Europa hackers y policías jugaban al gato y al ratón con consecuencias livianas -como cárcel por un tiempo o confiscación de equipos-, en el Tercer Mundo las computadoras se usaban para que algunas organizaciones de derechos humanos mantuvieran contacto con otros países. En Malasia, por ejemplo, era común que la policía rompiera los equipos y golpeara a la gente si un grupo on-line no resultaba del agrado del gobierno. El mensaje a los hackers del Norte era claro: ustedes juegan, nosotros trabajamos. No cayó en saco roto. La conferencia llevó a que los holandeses desarrollaran proyectos como Digital City -un sistema on-line conectado a Internet con información para los habitantes de Amsterdam-, o la Fundación HackTic que provee acceso a Internet a precios populares. El intento de presentar a los hackers como guías para el consumidor en la era de las computadoras fue todo un éxito, y el congreso se convirtió en una leyenda. Después de la fiesta, el movimiento hacker holandés multiplicó su difusión, la revista Hack-Tic fue muy requerida y sus miembros una referencia obligada para la prensa cada vez que se presentaba una noticia involucrando computadoras. Un día, sin previo aviso, las tarjetas de identidad de los estudiantes holandeses -que les permiten el acceso a los medios públicos de transporte- fueron renovadas por otras que contenían un alambre. Cuando los medios consultaron a Hac-Tic, la revista aclaró que ese alambre servia para "detectar las tarjetas en ciertos lugares; puede ser usado para contar los estudiantes que pasan por las estaciones de tren, por ejemplo, lo que significa una violación a la privacidad". Los ferrocarriles se encontraron con un serio problema de relaciones públicas tratando de explicar la situación. 31 A medida que el tiempo pasaba, Hack-Tic se afianzaba como un movimiento que trascendía a la revista, su actividad principal. En 1992 decidieron crear la Fundación Hack-Tic, que brindaba servicios de Internet al público. En principio se llamaban hacktic.nl, pero hubo quienes se opusieron a la palabra hack en el nombre, ya que no querían ser asociados con hackers, y cambiaron la denominación a xs4all (Acces For All, Acceso para todos). En 1994 Patrice Riemens, durante su visita a Buenos Aires, comentó que "el gobierno de Holanda tiene una larga tradición de tolerancia hacia los hackers. Ellos quieren ser eficientes y reconocieron desde hace mucho tiempo que la represión cuesta dinero; perseguir a quienes no son realmente peligrosos es también una pérdida de dinero. Hasta la policía tiene una cuenta en xs4all y nadie se asombra por eso". NUEVAS ESTRELLAS ================= "Le pregunté a uno de ellos por qué habían elegido un nombre tan amenazante. A nadie le gustaría una mariconada del tipo Liga de Recolectores de Flores. Pero los medios de comunicación también entraron. Trataron de probar que la League of Doom (Liga de la Muerte) era una especie de banda, o algo por el estilo, cuando en realidad se trataba de un montón de tarados detrás de terminales'." JOHN PERRY BARLOW EN CRIME AND PUZZLEMENT (CRIMEN Y CONFUSION) El Chaos Computer Club ingresaba en la NASA, miraba los archivos durante seis meses antes de que los descubrieran y -como si fuera poco- lo anunciaban públicamente. Otros alemanes vendían información confidencial a la KGB y también lo reconocían sin que intervinieran los servicios norteamericanos. Unos holandeses atrevidos organizaban un Congreso Internacional de Hackers y nadie reaccionaba en contra. Los seiscientos millones de tarjetas de crédito que circulaban en los Estados Unidos, los cuatrocientos mil millones de dólares que el sistema de computación interbancario en red telefónica manejaba por día, los archivos con datos de clientes, transacciones y planes de negocios de compañías y bancos corrían el riesgo permanente. Las bases militares eran reiteradamente hackeadas: la de las Montañas Rocosas guardaba centenares de misiles nucleares teleguiados, la Strategic Air Command, en Colorado, era el cerebro de la flota de bombarderos nucleares. Todas estas actividades se manejan por computación por lo que la debilidad del sistema constituía un gran peligro. Los servicios secretos norteamericanos comenzaron a tomar cartas en las investigaciones. En el diseño estratégico del plan policial, el primer paso fue el control de los centros donde los hackers encontraban siempre alguna información: los BBSs. 32 datos llegaron a los agentes del servicio secreto, lo incluyeron en la lista de sospechosos -sobre todo porque vivía en la misma ciudad donde se había realizado la llamada amenazadora de las bombas informáticas- y el 29 de julio allanaron su casa. Crimen y Confusión ------------------ A las 2:25 de la tarde del 15 de enero de 1990 todas las llamadas de larga distancia, nacionales e internacionales, de la red AT&T -la compañía telefónica más importante de los Estados Unidos- comenzaron a recibir la misma respuesta: "Todos los servicios están ocupados; por favor, intente más tarde", repetía la grabación de una voz femenina. Durante ese día, veinte millones de llamados no llegaron a destino y más de la mitad del país quedó incomunicada. Durante la tarde y hasta la madrugada, los técnicos tuvieron que reemplazar el software en los conmutadores de la mitad del país para solucionar el problema. Robert Allen, presidente de AT&T, sostuvo al día siguiente que el problema había sido una falla en el soft, pero otros voceros aseguraron que se trataba de un ataque de hackers. Con los antecedentes de arrestos e intromisiones recientes, el publico norteamericano se volcó hacia la teoría del hacking y exigió que se castigara a los culpables. El 19 de enero los servicios secretos arrestaron a Knight Lighting, coeditor de PHRAC y operador del BBS Metal Shop -en realidad Craig Neidorf, estudiante de veinte años-, por haber publicado el 25 de febrero de 1989 el documento E911 en su revista electrónica. El 24 detuvieron a Acid Phreak -Joey-, sospechoso de ser el responsable de las bombas informáticas descubiertas por los hombres de Bellcore. Un día después allanaron el domicilio de Phiber Optic -Mark Abene-, miembro de LoD desde hacia un año, y el the The Mentor (Loyd Blankenship), operador del BBS trucho Proyecto Phoenix y empleado de una compañía de juegos de ordenador; Steve Jackson Games. Horas más tarde se trasladaron hasta esas oficinas y, ante el asombro del propietario -el mismísimo Steve Jackson-, secuestraron todos los equipos de computación, diskettes y papeles. Buscaban un manual escrito por The Mentor -argumentaron- sobre delitos informáticos, que estaba en preparación para ser editado. El 8 de mayo más de ciento cincuenta agentes del servicio secreto, en colaboración con fuerzas policiales locales, efectuaron veintisiete registros en Chicago, Cincinnati, Miami, Los Ángeles, Nueva York y Phoenix, entre otras ciudades, y confiscaron cuarenta computadoras y veintitrés mil diskettes. Los cargos que se levantaron fueron tráfico y abuso de tarjetas de créditos y de códigos DDI, acceso no autorizado a computadoras y fraude en telecomunicaciones. - ¿Mich? Aquí John. ¿Leíste las noticias sobre la redada de hackers de hace una semana?- preguntó Barlow, letrista de Grateful Dead. - Sí, claro. Todo el mundo habla de eso. ¿Por qué?- contesto Kapor, coautor del programa Lotus 1-2-3. - Estuve pensando en las averiguaciones que hizo ese agente de la FBI entre los miembros de la WELL y me preocupa que no saben nada sobre hacking. ¿Por qué no venís hasta casa y lo charlamos?. - Okay. ¿Qué tal mañana? John Perry Barlow y Mitch Kapor se encontraron. Apenas días antes, ellos -entre otros- habían recibido la visita de un agente del FBI que investigaba el paradero de 35 Cap' Crunch, a quien creían relacionado con los soviéticos y con una empresa que tenia grandes contratos secretos con el gobierno sobre la Guerra de las Galaxias. Ninguna de esas especulaciones era acertada, pero la ignorancia de los federales y la eterna teoría de la conspiración preocupó a ambos. Mediante Whole Earth 'Lectronic Link (WELL, Enlace Electrónico de la Tierra), el BBS de la Point Foundation -semilla de la Conferencia de los Hackers, que se realizaba anualmente-, recibieron las protestas indignadas de otros usuarios que también habían sufrido las visitas del FBI y que habían escuchado la misma historia. - Ese tipo no distingue un chip de un torno- despreció Barrow-; si todos son así, quién sabe de qué culpan a los hackers que detuvieron hace una semana. - Hummm... -aceptó Mitch-, esos chicos necesitan ayuda. En dos horas se organizaron y escribieron el manifiesto "Crime and Puzzlement" (Crimen y confusión) que anunciaba la voluntad de crear la Electronic Frontier Foundation (EFF), organización política destinada a "obtener fondos para la educación, el hobbing y los litigios en las áreas relacionadas con el discurso digital y la extensión de la Constitución al cyberespacio". El documento también declaraba que la fundación "conducirá y dará su apoyo a los esfuerzos legales por demostrar que el servicio secreto ejecutó restricciones previas a las publicaciones, limitó la libertad de expresión, tomó en forma inapropiada equipos y datos, usó la fuerza y, en general, se condujo de un modo arbitrario, opresor y anticonstitucional". Los fundadores recibieron el apoyo económico de muchos tecnócratas de la industria, incluidos Steve Wozniak, padre de Apple (que donó ciento cincuenta mil dólares), John Gilmore, uno de los pioneros de Sun Microsystemms, y Steward Brand, de la Point Foundation. El 10 de julio de 1990 la Fundación estaba en regla y se hizo cargo del primer caso: el juicio a Craig Neidorf, que comenzó el 23 del mismo mes. Neidorf fue procesado por fraude, abuso y transporte interestatal de propiedad privada, cargos centrados en el documento E911. Cuando lo arrestaron, y tras cuatro horas de interrogatorio, Neidorf admitió que The Prophet le había entregado el documento E911 robado mediante hacking, a pesar de lo cual se declaró inocente. No fue el caso de The Urvile, Leftist y Prophet, quienes se declararon culpables y estuvieron dispuestos a cooperar para mitigar sus condenas; esa cooperación incluía atestiguar contra Knight Lighting. La Southem Bell estimaba el valor del E911 en setenta y nueve mil dólares, pero los abogados contratados por EFF demostraron que se vendía en las sucursales telefónicas a veinte dólares y, gracias a la colaboración de John Nagle -programador respetado y miembro de la WELL-, que había sido publicado con anterioridad en el libro The Intelligent Network (La red inteligente). También el periódico Telephone Engeneer and Management había dedicado un ejemplar al documento, con más detalles que la publicación de Neidorf. The Prophet tuvo que declarar por segunda vez y confesar que él había copiado el E911 de las computadoras de Bell South y se lo había enviado Craig, quien era miembro de la LoD y a quien nadie consideraba un hacker. El juicio a Neidorf se suspendió: no lo declararon inocente sino que se anuló todo lo actuado, se ordenó a los servicios secretos que borraran y destruyeran las huellas digitales, fotos, y cualquier otro registro del caso y Craig quedó en libertad, pero tuvo que correr con los gastos y costas, que sumaban cien mil dólares. El juicio fue público y los agentes federales no pudieron evitar que se divulgaran los métodos utilizados para controlar y obtener pruebas contra los hackers. La importancia fundamental que habían asignado a los BBSs radicaba en que -para ellos- están llenos de evidencias y controlarlos podía ser tan efectivo como pinchar una línea telefónica o interceptar la correspondencia. Sundevil fue el golpe más grande de la historia a los BBSs. Los organizadores, el servicio secreto de Phoenix y la oficina general de abogados de Arizona consideraban que unos trescientos BBSs merecían la orden de búsqueda y captura, pero sólo consiguieron capturar cuarenta y dos entre el 7 y el 36 9 de mayo de 1990, además de veintitrés mil diskettes que contenían juegos pirateados, códigos robados, números de tarjetas de crédito, softwares y textos de BBSs piratas. Todos habían sido registrados de antemano, ya sea por informantes o por el servicio secreto. La ola de indignación que se levantó por ese dato generó que Don Edwards -senador y miembro del subcomité de derechos civiles y constitucionales del congreso- junto a los Computer Professionals for Social Responsability (CPSR, Profesionales de la computación por la Responsabilidad Social), levantara un pedido de informes al FBI. La CSPR había nacido en 1981 en Palo Alto por la reunión de científicos y técnicos de computadoras a través de un correo electrónico, pero para 1990 contaba con más de dos mil miembros diseminados en veintiún localidades de los Estados Unidos. The Mentor (Lloyd Blankenship) estuvo bajo vigilancia un largo tiempo, pero su caso nunca llegó a los tribunales. La teoría del servicio secreto que lo involucraba en la edición de un manual se refutó al quedar demostrado que el escrito era un juego que comercializaría la Steve Jackson Games. El producto más importante de esa empresa era el General Universal Role-Playing System (GURPS), que permitía que los ganadores crearan su propio entorno. El proyecto sobre el cual trabajaba The Mentor era el GURPS Cyberpunk y el término era -para los agentes- sinónimo de hacking. Cyberpunk era el nombre adoptado por los escritores de ciencia ficción que en la década del 80 incorporaron a sus argumentos la evolución tecnológica informática y muchos hackers asumieron esa denominación como propia, identificados con los relatos de un mundo donde humanidad y tecnología perdían y mezclaban sus límites. Si bien se secuestraron todos los equipos y periféricos que había en la sede de la empresa y en la casa de The Mentor, nunca se realizó una acusación formal ni se arrestó a nadie a pesar de que los servicios secretos demoraron más de tres meses en devolver el equipamiento. Steve Jackson soportó pérdidas cercanas a los trescientos mil dólares. The Urvile (Adam Grant) y The Leftist (Frank Dearden) fueron condenados a catorce meses de prisión, The Prophet (Robert Riggs) a veintiún meses y los tres debieron afrontar el pago de doscientos treinta mil dólares (por los dispositivos de acceso hallados en su poder, códigos de identificación y contraseñas de Bell South). Phiber Optic recibió como condena treinta y cinco horas de labor comunitaria y la LoD lo expulsó de sus filas por haber colaborado con demostraciones -junto a Acid Phreak- para un artículo de la revista Esquire. Phiber se unió entonces a los MoD, pero en diciembre de 1991 fue arrestado con otros miembros de la banda. Fry Guy tenía dieciséis años cuando lo detuvieron. Confesó que realizaba fraude con tarjetas de crédito pero mantuvo su declaración de inocencia en cuanto a las bombas y a las derivaciones de llamadas. Le confiscaron todo su equipo y quedó en libertad vigilada. El Sundevil y Después --------------------- Uno de los personajes más activos durante el operativo Sundevil y que obtuvo gran espacio en la prensa de los Estados Unidos fue Gail Thackeray, asistente del fiscal de Arizona. Nadie en su momento pudo ignorarla, ya que fue quien pronunció las frases más propagandísticas sobre el operativo. "Los criminales electrónicos son parásitos -afirmaba-: de a uno no representan mucho daño, pero nunca aparecen de a uno. Vienen en grupo, legiones, a veces subculturas completas, y muerden. 37 "Pero eso no es problema para una conferencia de este tipo, ¿verdad?, ironizaron los técnicos de PTT. El congreso se inauguró con una charla de Emmanuel Goldstein y las sesiones se realizaron en talleres. Pengo explicó las debilidades del sistema operativo VMS; Billsf y Rop contaron qué tipo de mensajes de radiollamado se pueden interceptar; David C. desarrolló los principios del dinero digital anónimo. Y todos se comunicaron con el resto del mundo vía Internet. La prensa -que en marzo, cuando los de Hack-Tic habían hecho el anuncio, no había dedicado ni una línea al congreso- se presentó en masa al advertir que la asistencia fija era de setecientas personas más otros trescientos visitantes por día. Según Rop, la segunda jornada en Flevoland tenia "un clima Woodstock; además, algunos tenían hash o porro, que dejaban sus perfumes característicos en la carpa principal". Hubo quejas por la comida: era demasiado sana, protestaban los hackers, que preferían pizzas. Un Mensaje ---------- En noviembre de 1993, Phiber Optic se despertó en medio de una pesadilla: su casa estaba copada por agentes federales que revisaban cuanto cajón encontraban y separaban todo lo que tuviera que ver con computación. Phiber no sabia que siete compañías telefónicas regionales de Bell, varias bases de datos de agencias del gobierno y otras empresas de comunicaciones como la Telecom Británica habían asentado una denuncia por intromisión no autorizada. "El juicio fue de los Estados Unidos contra mi persona", acusa Phiber Optic, quien recibió una condena de un año en prisión y salió en libertad el 22 de noviembre de 1994. Ese día sus compañeros de ECO, un sistema de conferencias, lo recibieron con una fiesta de bienvenida y lo reasignaron al trabajo que realizaba antes de ir a prisión: ocuparse de las computadoras, la base de datos y algunos aspectos técnicos, como las conexiones con Internet. A mediados de diciembre de ese año, Patrice Riemens, en camino de regreso a Holanda desde Buenos Aires, lo entrevistó en Estados Unidos. - ¿Cuál seria una buena ley sobre crimen computacional? ¿O no deberían existir leyes?- interrogó Patrice. - Obviamente hay crímenes con computadoras -reconoció Phiber- para los que debería haber leyes, pero en los Estados Unidos son muy confusas porque en 1986 las que existían fueron ampliadas para crímenes financieros, generalizándolas. Eso no sirve, son cuestiones muy distintas. En los casos de crímenes financieros, en los que hay grandes cifras de dinero involucradas, se llega a un acuerdo con las personas o con los representantes; en cambio, en computación eso no se da. - ¿Por qué tantas empresas de teléfono se pusieron de acuerdo para acusarte? - Las compañías quisieron enviar un mensaje: "No vamos a tolerar la entrada en las computadoras, no hay que meterse con ellas". En realidad, hacía ya diez años que las corporaciones sufrían infiltraciones, y lo mantenían en secreto. - En causas anteriores los tribunales fijaron multas. ¿Cómo fue en tu caso? - En mi caso una sola compañía, la Southern Bell, declaró un daño de trescientos setenta mil dólares; para llegar a esa cifra calcularon cuánto dinero se 40 necesitaba para cubrir la seguridad de las computadoras, algo ridículo. A mí no me multaron, pero muchos hackers tuvieron que hacerse cargo de cifras exageradas. Los tribunales también establecen periodos de libertad condicional en que tenés que trabajar para pagar las cuentas: yo, por ejemplo, tengo que hacer seiscientas horas de trabajo comunitario. - ¿Cuál es el futuro del hacking? - No sé hacia dónde van las cosas. Ahora hay gran interés por que se ignoren determinadas cuestiones, pero no siempre fue así. Hay quienes dicen que el futuro va a estar en manos de las agencias del gobierno y de las corporaciones y hay una visión mas optimista que dice que el individuo será cada vez más poderoso. Sin embargo, las cosas están muy desorganizadas, hay cada vez menos personas que quieren hacer algo que las lleve a encontrar novedades, y esa es una de las razones del hacker. - ¿Y cuál será el futuro de la Internet? - Nos guste o no, crecerá y se comercializará cada vez más. Hace poco hablé por teléfono con una gente que cree que el poder estará en manos de los individuos. Eso es por lo que peleo, algo que no existe ahora, y no me interesa mucho ir a la cárcel otra vez. Mientras estuve preso pensé mucho y creo que las personas se están convirtiendo en una especie de vagos que se sientan a mirar televisión como ante una computadora sólo para ver imágenes, dibujos o leer noticias; se están convirtiendo en vegetales. - ¿Seguirá de esa manera? - Me temo que sí. Al ciudadano promedio no le interesa realmente la tecnología y muchos hombres de negocio se obsesionan en su tiempo libre con distintas herramientas, pero no se preocupan por saber cómo funcionan: simplemente, las desean. La difusión hacker ------------------ Como toda comunidad que reconoce intereses comunes y específicos, la de phreakers y hackers tuvo y tiene sus publicaciones. La primera –que divulgaba secretos para hacer phreaking- fue obra de una línea del Youth International Party (YIP, Partido Internacional de la Juventud) fundada por Abbie Hoffman: La YIPL (Youth International Party Line), cuyo primer número salió a las calles de Greenwich, Nueva York, en mayo de 1971. En colaboración con Al Bell, el mismo Hoffman diseñó una simple hoja en la que se enseñaba a manipular aparatos telefónicos como paso necesario para quebrar a las compañías telefónicas. El partido proponía el uso de los servicios públicos sin pagar y MaBell era, casi, el enemigo principal. Abbie tuvo que desaparecer varias veces por su actividad política y al fin dejó la revista en manos de Al, quien la convirtió en Technical Assistance Program (TAP), publicación con más orientación técnica que política, que se dedicó a reproducir el material de Bell Telephone. A principios de los años 70, con el advenimiento del telex y las computadoras, Al delegó el manejo de TAP en Tom Edison, quien la dirigió hasta 1983, cuando un robo seguido de incendio intencional destruyó todas las instalaciones. Entre los medios electrónicos, la revista digital de mayor alcance 41 fue PHRAC, que inicio sus actividades el 17 de noviembre de 1985 en Metal Shop, un BBS operado por Taran King y Knight Lighting. En sus orígenes era una serie de archivos de texto que se distribuía solo a través de Metal Shop, pero cuando los sysop obtuvieron acceso a Internet se desparramó por todo el mundo gracias al servicio de e-mail (correo electrónico) que les permitió enviar cientos de copias automáticamente. Invitaba a escribir archivos sobre phreaking, hacking, anarquía o cracking. El primer número incluyo un listado de dial-ups (número de acceso a computadoras a través de un modem) en el que estaban, por ejemplo, las universidades de Texas, Yale, Harvard, Princeton y el Massachusetts Institute of Technology (MIT). También explicaba cómo utilizar tarjetas de llamadas internacionales ajenas de la red norteamericana y listaba los códigos de treinta y tres países cubiertos por la compañía telefónica MCI. Sus colaboradores escribían también en 2600, y en el número 24, de 1989, publicaron el documento E911, que originó el juicio a Knight Lighting. Hoy se considera que la aparición de PHRAC provocó una revolución en el underground informático: los hackers y phreakers más famosos -incluidos los miembros de la League of Doom- escribieron u opinaron en sus páginas. Pocos meses después de la destrucción de TAP, Emmanuel Goldstein imprimió el primer número de 2600, The Hacker Quarterly, revista trimestral que retomó la tradición política de las publicaciones para el underground computacional. Desde 1987 y hasta la actualidad fue labrando la fama que la convirtió en una de las más importantes a nivel mundial: divulga métodos de hacking y phreaking, señala circuitos para trampear teléfonos e interceptar líneas, revela fallas de seguridad en los sistemas operativos, ofrece listados de dial-ups y mantiene una crítica permanente hacia quienes legislan y controlan el mundo de las comunicaciones. Salvaguarda su responsabilidad con la primera enmienda de la Constitución norteamericana, que garantiza la libertad de expresión; además, en todos los artículos técnicos se aclara que el fin de esa información es el estudio y el uso de los dispositivos es ilegal. La revista adquirió tanta fama que vende por correo remeras, videos y otros objetos con propaganda; a veces organiza convenciones, aunque su director prefiere explicarlo todo de otro modo: "La gente se acerca y quiere reunirse. Eso es bueno. Nosotros les sugerimos un lugar público y céntrico para romper la idea que asocia a los hackers con criminales, y así se arman los encuentros". La revista no es el único modo de difusión del hacking elegido por Emmanuel Goldstein: tiene también un programa de radio los miércoles por la noche que se difunde en Manhattan y que concita aun más atención que 2600. Goldstein visitó Buenos Aires para asistir al Primer Congreso sobre Virus, Computer Underground y Hacking que se realizó en el país. "Se está estableciendo un puente entre las nuevas tecnologías, la libertad de expresión y los derechos universales", sostuvo durante su corta estadía, para manifestar luego una esperanza: "Quisiera ver en el futuro a los individuos que ahora no tienen grandes conocimientos haciendo un uso más intensivo de la tecnología. Para eso, los hackers debemos enseñar lo que sabemos". - ¿No te escuchás un tanto soberbio? - Puede ser. Sí, algo de eso hay. Pero los hackers quieren comunicarse, quieren transmitir sus conocimientos. El problema es tener la capacidad y la habilidad para hacerlo. No es sencillo. 2600 existe, justamente, para achicar esa brecha y poder explicar qué hacemos y cómo. - ¿Era esa la intención inicial de la revista? 42 personas, la consigna: "Los argentinos somos derechos y humanos". Yuyo tenia veintiún años y era un gerente contratado en la sucursal de Concordia, Entre Ríos, de la empresa Aerolíneas Argentinas. Para su trabajo de ventas contaba con un teléfono y una terminal de telex conectada en forma directa por coaxil privado a Santa Fe, aunque durante la mitad del tiempo esa conexión no funcionaba. El mecanismo de la venta de pasajes aéreos contemplaba -aun lo hace- que una empresa pueda entregarlos fuera del país de origen mediante otra compañía. Cuando se le presentaba uno de esos casos, Barragán informaba a la sede de Buenos Aires y esta se comunicaba con el Sistema Internacional de Comunicaciones Aeronáuticas (SITA). De origen francés, esa organización se encarga de hacer las reservas de pasajes de todas las compañías aéreas del mundo: registra el pedido en su central de Inglaterra, lo confirma con la central de los Estados Unidos y luego da la orden de emisión en el lugar que corresponda. Por entonces las aerolíneas se pagaban entre sí los viajes que realizaban con otras cada seis meses. - Tengo que confirmar estos pasajes como sea -urgió Yuyo a la operadora de telex-; la gente que me los pidió esta en Londres y es mucha plata ¿me entendés? - Sí, sí -contestó ella-, pero todos los números de Aerolíneas en Buenos Aires están ocupados. ¿Que querés que haga? - Y... seguí probando mientras pienso. Barragán decidió que intentaría saltear esa conexión en la Capital Federal. Buscó en las guías de tráfico aéreo los códigos y claves que necesitaba y en la de telex el numero de SITA en Buenos Aires. Se comunicó, hizo la reserva con los datos de Aerolíneas y a los pocos minutos tenía la confirmación. En qué exacto momento Barragán supo que podía realizar las mismas o similares llamadas para hacerse de un pasaje sin pagar es algo que ya olvidó, pero recuerda que la primera vez involucró sólo a Aerolíneas Argentinas: generó un pedido con origen en Nueva York de un boleto por el sistema prepago. En la central de Buenos Aires nadie sospechó. La aprobación fue inmediata y sin dificultades. Falsear los mensajes de telex era, además, bastante sencillo. Yuyo comenzó a noviar. Su amor era una empleada de la sucursal colombiana de Aerolíneas y, naturalmente, los pasajes gratis que le daba la compañía no alcanzaban para que pudiera visitarla todos los fines de semana, como ambos deseaban. Para probar la voluntad del enamorado, Yuyo envió una nota al presidente de Aerolíneas, con copia a su jefe directo, dando el permiso necesario para el feliz desarrollo del romance, aceptando pagar gastos y viáticos. El jefe se sorprendió, pero no tenía forma de saber que tanto el pedido de permiso como la aceptación eran falsos. Con esos antecedentes y con su primer éxito, Yuyo perfeccionó su accionar y dejó volar -literalmente- su imaginación por el mundo. En 1982, en plena Guerra de Malvinas, pidió desde Rosario una ruta poco común a la empresa holandesa KLM, con origen en Tel Aviv. Como a raíz del conflicto esa compañía salía de Montevideo, el "cliente" de Barragán pidió endoso a Aerolíneas Argentinas para salir de Ezeiza. - Pedí la confirmación a Buenos Aires -ordenó un jefe de KLM que olió algo raro. - Allá dicen que nadie hizo el pedido -contestó el empleado un rato más tarde. - ¿Cómo? Confirmá con Tel Aviv, que es el lugar de origen. - ¿De qué hablan? -preguntaron en Tel Aviv. 45 - Pero ¿qué pasa acá? Llamá a Rosario y averiguá de dónde salió el pedido -ordenó el mismo jefe. - En Rosario dicen que fue Tel Aviv -dijo el mismo empleado. - Acá hay algo que no funciona... Yuyo Barragán huyó hacia Brasil. A poco de llegar la falta de efectivo lo estimuló para volver a probar su sistema. Eligió a Varig para el primer intento y le dio excelentes resultados: se dedicó a revender pasajes a mitad de precio. A mediados de enero de 1983 el hermano de una prostituta amiga desconfió de la ganga y decidió hacer algunas averiguaciones en una agencia de empresa aérea. - ¿Dónde lo compró? -fue la primera inquietud del empleado. - Un tipo se lo vendió a mi hermana muy barato, a mitad de precio. ¿Sirve? - Sí, viene de la Eastern de Chicago y está confirmado por nuestra agencia en Copacabana. ¿Quién es el que se lo vendió? La policía brasileña detuvo a Barragán esa misma noche. Los ejecutivos de Varig fueron a verlo y le propusieron entregar los códigos que utilizaba y explicar cómo era el sistema; a cambio, no harían ninguna denuncia. Yuyo aceptó con la condición de que el encuentro fuera a la mañana siguiente. Era tan tarde, estaba tan cansado. Pero ante todo la cortesía: esa noche, antes de salir en libertad, obsequió al comisario un par de pasajes y un cheque por su comprensión y sus buenos oficios. Cuando a media mañana del día siguiente los empleados de Varig llegaron al hotel donde se hospedaba Yuyo no encontraron nada ni -lo más importante- a nadie. El hombre había volado a Buenos Aires gracias a un pasaje San Pablo- Montevideo de la misma Varig que endosó a Iberia. - El cheque lo denuncié como perdido antes de irme; además, no tenía fondos. No puedo volver a Brasil, claro: si me enganchan me meten adentro por cien años -supone ahora Barragán al recordar el episodio. De vuelta en la Argentina siguió con el negocio, aceptando trueques además de efectivo. De esa forma obtuvo, en febrero de 1983, un lujoso Rolex. Pero el reloj no funcionaba. Lo llevó a arreglar y, en el momento de retirarlo, le exigieron boleta de compra que -por supuesto- no tenía. Otra vez lo detuvieron. Puesto a explicar cómo había llegado el reloj a sus manos, Yuyo decidió confesar. Demostró su manera de operar obteniendo los pasajes para los comisarios y sus señoras, pero tampoco así logro hacerse entender: la policía tuvo que consultar a especialistas internacionales que lo tradujeran. Los agentes del FBI enviaron un telex respondiendo -y a la vez preguntando- a sus pares de la policía argentina: "Confirmado Lufthansa utiliza servicios SITA para circuito Bohemia-Long Island-Nueva York. Rogamos informe: 1) Cómo Barragán aprendió ese sistema; 2) Más detalles sobre 'Delfo el mexicano'; 3) Cómo Barragán sabe que Cauma Travel Nueva York está involucrada; 4) Qué otras agencias de viaje afectadas. Stop". Seguramente la respuesta fue larga. ¿Por qué nunca se detectó la falsedad de las llamadas? Yuyo lo explicó ante la ley de esta manera: "Las líneas tienen muchas dificultades. No sé si habrán notado que casi siempre los pasajes vienen con un error en el nombre. Los que pedía para mí decían "BARAGAN", con una sola ere. Eso es basura del satélite y la gente de las compañías aéreas del mundo lo sabe. Ante cualquier inconveniente uno muestra el 46 documento, se dan cuenta de que es un error de transmisión, y listo. ¿Qué hacia yo? Descubrí que si al final del mensaje metía una orden de retorno para el carro (equivalente al enter de las computadoras) y en la línea siguiente ponía cuatro eles mayúsculas, cerraba el circuito. Doy un ejemplo: mandaba un mensaje a PanAm San Francisco ordenando un pasaje con origen en Milán para tal recorrido, a ser endosado a Aerolíneas Buenos Aires o a Varig Río. El operador norteamericano que está mirando la pantalla lo ve entrar. Supongamos que se le ocurre verificarlo, cosa que casi nunca se hace: cuando va a intentarlo, se cuelga el sistema. ¿Cómo iba a saber que era yo el que lo hacía a propósito? Se quedaba convencido de que era un inconveniente de satélite y no desconfiaba. Tenía que apagar y reencender las máquinas y para cuando terminaba de hacerlo ya se había olvidado". A los cuatro días Yuyo salio del Departamento de policía libre de culpa y cargo. Ninguna de las compañías involucradas en las sucesivas maniobras quiso presentar cargos ni se reconoció como damnificada: perder credibilidad ante los clientes era un daño superior al causado por Barragán. Las consultas generaron suficiente conmoción, sin embargo, como para que representantes de todas las empresas de aeronavegación realizaran un cónclave en París y tomaran algunos recaudos: cambiar todos los códigos, imponer mensajes de verificación y realizar el clearing cada treinta y dos días. Cuánto dinero ganó Yuyo a lo largo de los años es algo imposible de determinar hoy, ni siquiera él lo sabe con exactitud. Para las estimaciones oficiales fueron entre seiscientos y mil pasajes que, multiplicados por los cinco mil dólares que asigna SITA a cada uno, alcanzan cifras millonarias. Lo cierto es que no consiguió el famoso futuro asegurado. Ni siquiera un presente holgado. Canto de Pericos ---------------- El cuarto mide seis metros cuadrados; tiene una ventana inalcanzable y un agujero en el lugar de la puerta. Las paredes están descascaradas y huele a humedad. Hay cinco mesas con algunos bancos largos, dos de ellos ocupados. La gente habla en voz baja. Yuyo llega con otro banco y una bolsa de compras de la que va a sacando yerba, azúcar, un termo y un cuaderno. Está ansioso: saluda efusivamente, no puede dejar de hablar mientras prepara el mate. - ¿Cuánto tiempo hace que estás preso? - Desde abril del '94. Pero pienso que voy a salir pronto. ¿Saben por qué me engancharon? Porque quería votar y fui a regularizar el domicilio. - ¿Cuánto te dieron? - Tres años. Lo más lindo es que fue por la causa del '82, que ya está permitida. - Entonces, ¿cómo te detuvieron? - No, no. Me detuvieron por otra cosa. Yo tengo dos causas, pero en la última todavía no hay sentencia. - ¿Cuál es? - La de Los Pericos. 47 tenían un nuevo diseño pero nunca lo habían aplicado. De experiencia, ni hablar. La flamante red argentina, como todas las del mundo, tenía dos usos: local e internacional. Las transmisiones locales se hacían desde un nodo o a través de un modem de ARPAC y se facturaban donde las recibían. Las internacionales requerían que el usuario tuviera un nodo propio (una línea conectada directamente con ARPAC) o, si utilizaba modem, una clave IUR (identificación de Usuario de Red), NUI (Network user Identification) en inglés. Las claves tenían un modelo. N913066789/AB123, por ejemplo, debe interpretarse de un modo no demasiado complicado: N9 es el código del país: 1, el de telediscado de Buenos Aires; 3066789, el teléfono al cual se facturaba la utilización de la cuenta; AB123, la contraseña secreta del usuario (password). ARPAC era -y es- una red de norma X.25, capaz de comunicarse con otras de ese tipo en todo el mundo. Algunas de ellas brindaban el servicio de outdials: computadoras con un modem instalado que permitían salir de la X.25 y entrar en la red telefónica para comunicarse dentro de un área local. Si el servicio era global outdial (GOD) permitía algo más: llamar a cualquier teléfono del mundo. Sólo unos pocos privilegiados podían por entonces gozar del discado directo internacional (DDI), y en cualquier caso las llamadas de larga distancia cargaban tarifas exorbitantes. El uso -abuso, quizás- de ARPAC era una vía para acceder a bases de datos foráneas, como Dialog: la tentación de llamar al exterior y conseguir las últimas novedades en software o comunicarse con gente de otros países era, para algunos, difícil de resistir. Era, en fin, superior a la noción de culpa que puede acompañar a la ejecución de actos dudosamente legales. "Las redes de datos ofrecen varias aplicaciones: el correo electrónico, por ejemplo, llamado e-mail, que deja mensajes en una computadora en tiempo y períodos (el destinatario los recibe algunas horas después de emitidos) y no es interactivo; la posibilidad de conectarse a otras redes, como General Electric; el acceso a un banco de datos, un lugar donde se acumula información. El más famoso era Dialog -del cual yo era el representante-, una biblioteca informatizada con todo lo disponible en el mundo: cualquier libro o revista se incorporaba a ese banco de datos." Armando Parolari, ingeniero electricista, no sólo era la cara visible de Dialog en el país sino también para los usuarios de servicios internacionales, la de ARPAC. Dada su doble faz, prácticamente todos los que conocían la red nacional a través de él pensaban que solo se podía acceder a Dialog. A fines de 1985, impulsado por la necesidad de actualizarse en su disciplina, el padre de Alejandra resolvió contratar el servicio de ARPAC para comunicarse con los Estados Unidos, acceder a Dialog y realizar búsquedas bibliográficas en la National Library of Medicine. El médico encargó a su hijo (varón, contra su alias femenino) de catorce años, el único de la familia que se llevaba bien con la computadora, la tarea de solicitar las cuentas en ARPAC, CIBA y Dialog. Dos meses más tarde Alejandra conoció a Parolari. - Tenés que tener dieciocho años para abrir una cuenta - le advirtió el ingeniero. - Bueno... puedo traer a mi hermano para que firme. - Okay. ¿Y qué querés? ¿ARPAC?, Telenet o Tymenet? - ¿Cuánto cuestan la conexión y el mantenimiento de cada una? - Nada. Sólo se paga lo que se usa. 50 - Entonces quiero las tres. El entusiasmo y la inocencia de Alejandra -y la generosa confianza de su padre- hicieron que un mes después dispusiera de las tres cuentas. Al principio no se diferenciaban, ya que si bien el acceso a ARPAC era a 1200 BPS y el de las otras a 300, la Epson QX10 del chico apenas tenía un modem de 300. Entonces los de 1200 eran escasos; los de más velocidad, sólo un sueño para la mayoría de los usuarios locales. El nombre de usuario en Telenet era ENARGXXXNET y en Tymenet LRARGXXXRS; las XXX representan tres números, distintos para cada cliente. En ENTeL le asignaron a Alejandra una única password para las dos cuentas que allí tenía: su apellido. Nada original, por cierto. Ni seguro: cualquier persona que supiera cómo funcionaba la asignación de claves solo debía probar las combinaciones posibles de números (mil, en esa estructura) y poner el apellido como password. Con un programa automático, como el Discador tipo Juegos de Guerra, se podía conseguir en una noche. La clave de ARPAC era mucho más segura: la elegía el usuario y, si resultaba mala, era su responsabilidad. Alejandra intentó usar las cuentas para acceder a Dialog, pero se topó con las instrucciones de uso de ARPAC. En la fotocopia de una carilla mecanografiada -y no demasiado prolijamente- se leía: "INSTRUCCIONES PARA ACCESO TELEFONICO A SERVICIO INTERNACIONAL DE DATOS ARPAC: En Buenos Aires únicamente: Discar 394-5430 Recibirá tono de datos. Accionar dos puntos y Return o Enter. (Existiendo temporización, luego de un corto período se libra y se debe volver a discar.) En la pantalla aparece ARPAC". La hoja seguía explicando cómo usar el IUR (identificación del usuario en red). La afirmación "Recibirá tono de datos" resultó ser una expresión de deseos, ya que en sus orígenes ARPAC tenia una sola línea disponible y lo más probable era recibir tono de ocupado. Una vez conectado, conseguir el famoso mensaje ARPAC era una misión imposible para Alejandra quien, armado de paciencia y ganas infinitas, volvió a hablar con Parolari. - Debés estar haciendo algo mal -sentenció el ingeniero. - Pero no, si sigo las instrucciones al pie de la letra: pongo el dos puntos y el enter y no pasa nada. - No te digo! ¿Viste que estabas haciendo algo mal? No es la tecla de los dos puntos sino dos veces la tecla del punto. Impaciente por debutar, por fin, con su cuenta de Dialog, Alejandra volvió a la oficina de su padre pensando en la calidad de los manuales de ENTel. La traducción de Parolari funcionó y Alejandra logró que ARPAC apareciera en su pantalla. Pero el entusiasmo por el chiche nuevo duró poco: si bien ARPAC tenía un precio razonable, cada consulta bibliográfica era carísima. Por eso Alejandra decidió usar el modem para acceder a los pocos BBSs locales, donde conoció gente que le abrió las puertas a otro mundo. 51 - Conseguí un programa buenísimo -le ofreció un día un amigo-. Te lo paso cuando digas. - ¿De dónde lo sacaste? - De un BBS de Estados Unidos. - Ahh. Sí, hay cosas bárbaras, pero el DDI es tan caro... - Yo me comuniqué por ARPAC. Si querés, te puedo explicar cómo se hace. Así obtuvo Alejandra el primer outdial que le permitió acceder a los BBSs de Miami. Como su interés principal era seguir ayudando a la oficina de su padre, pensó usarlo para comunicarse con científicos en Estados Unidos. Pero estaba limitado a Miami. Para conseguir mas outdials visitó a su proveedor oficial. - ¿Qué? No puede ser! ¿Quién va a ser tan idiota para dar gratis semejante servicio? -recuerda el joven la respuesta. Parolari no sabía que servicios como PC Pursuit hacían justamente eso y que se trataba de una excelente forma de aumentar el tráfico de una red de datos. Las máquinas de PC Pursuit permitían la comunicación por modem para usuarios con tarifas preferenciales, más económicas que las de larga distancia. Por ejemplo, un usuario de California pagaba en ese momento veinte centavos por minuto para una comunicación que cruzaba los Estados Unidos. Por medio de este sistema pagaba casi la mitad. El descubrimiento de los outdials brindaba grandes satisfacciones a Alejandra pero la cuenta de ARPAC subía y subía. Cuando un hacker amigo le contó que se conectaba durante horas para traer programas sin aumentar su cuenta con la red, el asombro se dibujó en la cara del muchacho. - ¿Cómo? ¿Hay otra posibilidad? -preguntó. - Claro. Anotá: N91... - ¿De dónde sacaste eso? Es una clave. ¿De quién es? - No sé ni me interesa. Simplemente usala. Alejandra entró en el underground. Primero usó la clave con temor, consciente de la existencia de un dueño y porque sabía el costo. Pero un día le dijeron que pertenecía a una empresa grande: "Con lo que deben gastar... si se la uso un poco no se van a dar cuenta", se justificó. No sólo se comunicaba con científicos en los Estados Unidos, sino que consiguió programas de dominio público y -entre otras cosas- el número de una máquina en Metz, Francia, cerca de la frontera con Alemania. Ahí se reunían hackers de todo el mundo para charlar. Era QSD, un sistema en línea que permitía charlas en tiempo real con una gran capacidad de usuarios al mismo tiempo. QSD estaba conectado a Minitel -red telefónica francesa-, montado en una computadora ITMT con sistema operativo UNIX, y se podía acceder a través de Infotel -redes de datos en los Estados Unidos- o directamente por vía telefónica. Al ingresar, cada uno debía elegir un nombre para identificarse ante los demás participantes. Alejandra decidió pasar por mujer porque los hombres eran mayoría, todos querían comunicarse con "ella". QSD fue su adicción; llegó a estar conectado seis 52 - Hablo del 40-3456. Necesito hacer una serie de llamadas internacionales. La va a atender un fax, así que páseme directamente. Así accedían sin costo (para ellos) a distintos BBSs del mundo. Si el teléfono tenía DDI (algo raro en esa época), todo era mucho más sencillo. Pero no tuvieron en cuenta las horas de abuso de una línea: el usuario que pagaba por esas comunicaciones hizo la denuncia ante ENTel y el asunto llegó a manos de la policía. Cuando los agentes del orden vieron que los destinos de las llamadas estaban diseminados por todo el mundo, llegaron a una conclusión que les pareció obvia: narcotráfico. El caso era tan sospechoso que la feria judicial de enero no los detuvo. Llamaron a los 276 números listados en la cuenta telefónica y en todos lados les contestó un silbido agudo, señal de conexión de un modem. Excepto en uno. - Lo llamamos de la Policía Federal Argentina. Estamos investigando un posible ilícito, y necesitamos su cooperación. ¿Cual es su nombre? - Pedro González. - Recibió alguna llamada de la Argentina últimamente? - Sí... de mi amigo Juan, hace unos días. Todo el peso de la ley cayó sobre Juan, cuyo único pecado fue tener un hijo con amigos hackers. Estos le habían hecho el favor de comunicarlo con el hijo de Pedro, sin saber que la llamada de los padres, totalmente legal, los iba a delatar. El error fue llamar a un amigo: de haberse limitado a los modems, no hubieran podido rastrearlos. A pesar de que Juan vivía a dos kilómetros de la casa de Adam, donde se hacia la pinchadura, tuvo que pagar la cuenta que ascendía a unos quince mil pesos. Piratas Patrios --------------- Tal como sucedió en otras partes del mundo, las actividades de El Chacal y Doctor Trucho tuvieron mayor resonancia cuando, junto a un par de colegas, formaron una banda: la PUA, sigla que no significaba otra cosa que Piratas Unidos Argentinos. A pesar de las reminiscencias de lunfardo de ese nombre y algunos alias -que obedecían a una etapa nacionalista de Trucho- ellos gustaban definirse como "ciudadanos de las redes". Según un relevamiento de la Subsecretaría de Informática y Desarrollo, en 1986 había en el país 63 bases de datos, 37 desarrollándose y 14 proyectadas. En el momento pico de actividad de la banda, 1987, las redes y bases de datos nacionales, pero sobre todo CIBA, Delphi y ARPAC, supieron de sus andanzas. Cuando El Chacal y Doctor Trucho descubrieron un número de teléfono en Buenos Aires donde los atendía un modem, comenzaron su relación con el hacking. Se trataba de una entrada a la red interna del Citibank que comunicaba entre sí las sucursales y no permitía acceder a otros lugares. Por lo menos en teoría. - Entrar en el banco era difícil, había mucha seguridad. De todas formas, no creo que, de haber entrado, hubiésemos sabido qué hacer. 55 Pero en una sucursal, no me acuerdo cual, había un error de configuración. De ahí se podía salir a la red X.25 mundial, y pudimos conectarnos con algunos lugares -recuerda El Chacal. Poco después los PUAs fueron en patota a la Infotelecom de 1987 en el Sheraton Hotel para ver las demostraciones de uso de las redes como Delphi o ARPAC. La mayor parte del tiempo se aburrieron, pero encontraron a un operador que enseñaba cómo ingresar en algunas bases de datos y, mientras escuchaban, trataron de memorizar cada paso. En un momento el operador se distrajo y en la pantalla apareció una secuencia de números y letras. - Dale, anotá -dijo Doctor Trucho al oído de El Chacal - Vamos a probarlo. - Pará, pará. No salgamos corriendo. Sería sospechoso. La paciencia tuvo un fruto accesorio: al poco tiempo apareció otra clave. Ya convencidos de que no se llevarían nada más, fueron a probar lo que acababan de encontrar. Eran las contraseñas de la empresa FATE para usar ARPAC y CIBA. Esos fueron los comienzos. A mediados de 1987 Siscotel S.A., empresa comercializadora de Delphi -un sistema en línea local que proveía acceso a bases de datos de los Estados Unidos-, realizó una denuncia judicial: alguien estaba usando su cuenta de ARPAC. Había recibido una factura telefónica de cuarenta mil pesos, con un detalle de llamados que negaba haber realizado. En octubre, los PUAs se atribuyeron el hackeo en una nota periodística, lo que desató una investigación policial y revuelo en la prensa nacional. - En el tiempo de vida de Delphi hemos detectado cuatro casos de piratas en el sistema -decía Alberto Antonucci, directivo de Siscotel-, pero no entremos en la ciencia ficción y en otro tipo de supersticiones, por favor. Este tipo de hacker que pintan algunas publicaciones, no solo en nuestro país, no existe. Científicamente no puede existir. Nuestro sistema tiene dos entradas: el nombre que usa el usuario, que puede ser el real o un alias y la clave. La primera no es muy difícil de averiguar porque existe un listado, la segunda es una secuencia de letras o números que puede ir de seis a treinta caracteres. - Bueno, pero se sabe que prueban combinaciones. - Si Delphi no reconoce la clave por tres veces consecutivas, corta la comunicación. A la quinta intentona (decimoquinta clave) que no es correcta, además de cortar, cancela la cuenta y se cita al titular para que de una explicación, o para advertirle qué sucede. En los cuatro casos que tuvimos hubo errores por la falta de costumbre en el uso. Cuando decimos que la clave es secreta, debe ser eso, debe conocerla sólo el titular. - En este caso usaron la clave de su empresa, ¿Cómo lo explica? - Suponemos que la filtración se produjo en una exposición anual que realizamos en un hotel de Retiro. Pedimos una línea telefónica especial para el stand donde se hacían las demostraciones con el servicio Delphi de los Estados Unidos. Deben haber mirado y estudiado el movimiento de los dedos del operador sobre el teclado para averiguar la contraseña. En el mes de mayo de 1987 ENTel había otorgado a Delphi la NUI (Network User Identification) especial que dejó de usarse en junio, cuando terminó la exposición. En diciembre y los meses siguientes, llegaron a la empresa facturas que 56 detallaban: 1 de enero, uso de línea con Canadá desde 11:30 a 15; desde 12 a 14 con Suiza. Otro directivo de Siscotel, Manuel Moguilevsky, había recibido en su cuenta personal de Delphi una carta electrónica firmada por PUA proveniente de la cuenta de la red Globo de Brasil. Los hackers aseguraban que no estaban vinculados con el caso, advertían acerca de otros grupos que se dedicaban a romper los sistemas y deploraban el dinero que Siscotel adeudaba a ENTel. "PUA usa solo cuentas de empresas en forma distribuida para no recargarlas y quedar al descubierto", afirmaban. La policía se centró en la búsqueda de PUA e investigó los listados de llamadas hechas con el NUI de Delphi. Con la colaboración de Interpol trataron de localizar a los destinatarios, pero ninguno de ellos colaboró con la investigación por problemas legales que les impedían dar información sobre sus abonados o porque no había manera de identificarlos. Las comunicaciones se habían realizado con la Escuela Politécnica Federal de Zurich, Suiza; una central para llamadas locales en la provincia de Alberta, Canadá; el Instituto de Matemática de Alemania; el Servicio de información de Datos de Hong Kong; General Electric y Compuserve en Estados Unidos. Los investigadores no pudieron avanzar más allá y todo quedó en la nada. Algunos expertos dicen que, de haber identificado a los verdaderos responsables, no hubiera sido posible enjuiciarlos debido a la falta de legislación adecuada en la Argentina. Mientras se realizaba la pesquisa por el hackeo, los miembros de la PUA dejaban mensajes al sysop de turno en Delphi para que les abriera una cuenta a nombre de la banda y se comunicaban con la cuenta del periodista Enrique Monzón, quien al fin les hizo un reportaje que ocasionó la investigación para tratar de identificarlos. El Chacal recuerda que el sistema de Delphi tenía una falla: bajo ciertas condiciones particulares, en el momento de la conexión y antes de pedir la identificación, mostraba los usuarios que estaban en línea, con lo que brindaba la oportunidad de averiguar nuevas passwords para futuras llamadas. "Era más el duelo de la prensa que lo que realmente se hacia", afirma. La historia de PUA terminó en 1991, cuando el Doctor Trucho se fue a estudiar a los Estados Unidos. El único que de vez en cuando despunta el vicio es El Chacal, quien se convirtió en un referente obligado para la prensa cada vez que se quiere hablar de hackers. PUA nunca fue disuelta oficialmente. La Buena Fe de la Red --------------------- Además del caso Delphi hubo otros que, si bien no llegaron a las páginas de diarios y revistas, tuvieron amplia difusión en el mundillo de los hackers. "Yo tuve uno o dos problemas con mis propias claves de Dialog -recuerda Armando Parolari-; posiblemente en el momento en que hacia las demostraciones alguien llegó a ver la password y comenzó a usarla. Tuve que pedir que me la cancelaran. Eso sucede. Y no hubo manera de saber quién fue." Otra posibilidad es que hayan hecho shoulder surfing: mirar por sobre el hombro de quien tipea y ver qué teclas oprime, así, aunque la clave no salga por la pantalla, se la puede leer y anotar. -La gente que tenía problemas con la facturación recurría a la Justicia –continúa Parolari-, pero nunca se llegó a nada, a pesar de los esfuerzos. Estuve varias veces en los tribunales colaborando con las investigaciones. Es interesante porque no quedan rastros, es casi imposible identificar al que usa la cuenta. Algunas veces demorábamos la denuncia mientras intentábamos encontrarlos, pero es muy difícil porque se usa una línea telefónica: uno puede determinar que se está usando una cuenta en forma ilegal, pero ¿quién y desde dónde? 57 primero que a cualquiera se le ocurre probar. Algunas cosas las encontrábamos y otras eran fallas de seguridad. - ¿No era habitual que se cuidara la seguridad? - Había otros temas más esenciales para resolver que no pasaban por la seguridad, como que la red funcionara bien alguna vez. Había interrupciones del servicio de una a dos horas diarias. Imaginate un banco que pierda contacto con la central durante media hora! - ¿Por qué pasaba? - Los equipos estaban pensados para ser usados en líneas telefónicas normalizadas, y aquí ninguna cumplía con las normas de nada. Los cables eran del año de Ñaupa, estaban para tirarlos. De tanto ver pasar las claves por delante de sus ojos, el Capitán decidió probar alguna e investigar qué pasaba en otros lugares. Recuerda un caso especial: la empresa Proceda, que se ocupa de todos los trabajos de informática para el grupo Bunge & Born. - Nunca me voy a olvidar, porque ahí comenzó mi alias. En realidad había entrado para mirar -cuenta-, pero en ese momento la persona que se ocupaba del mantenimiento se conectó conmigo y me pidió que me identificara. Lo primero que se me ocurrió decirle fue "Capitán Piluso". El tipo se volvió loco, me decía que estaba burlando la seguridad y que podía detectarme desde la central. Entonces le contesté: "Hay una diferencia. Yo sé quién sos vos y vos no sabés quién soy yo". Era un desafío. - ¿Te detectaron? - Sí. Me desconectaron el modem de entrada. Pero a los diez minutos entré por otra línea, así hasta que, de tanto joder, descubrieron la clave que usaba y la anularon. Un mes después volví a ingresar con otra contraseña y de nuevo me preguntaron quién era. Dije "de vuelta el Capitán Piluso, ahora con otra password". El tipo estaba a punto de agarrarse un ataque, no lo podía creer; tenían contratado un servicio de acceso restringido a un grupo cerrado de usuarios. El ingeniero Carlos Manuel Ramírez trabajo durante años en ARPAC en diversas áreas, incluida la de mantenimiento. Ahora continúa su labor en Startel. Afirma que "Nunca, ni en la época de ENTel, se hicieron listados con claves. Había mucha seguridad". Pero luego medita: - Es posible que se hicieran algunos listados de clientes con las NUI -acepta-, pero eso era como mi guía interna de clientes. De lo que sí estoy totalmente seguro (porque eso no quedaba registrado) es que desde la propia memoria del equipo red (que es el único lugar donde se recibe la password) era imposible escribir ese listado. - Un listado de NUIs contiene teléfonos ¿No es el primer paso para averiguar una clave? - Es tener el teléfono, es robar una línea telefónica porque se sabe que acá hay una línea de datos, una máquina conectada. Las seguridades eran muy altas en la 60 época de ENTel y son más ahora, que se instaló nuevo hardware y software. ¿Quién podía tener los conocimientos para poder entrar a mirar eso? - ¿Los que hacés en soporte técnico? - Los técnicos que operan los centros tienen un altísimo grado de capacitación, pero están orientados para operar y mantener primariamente: saber interpretar las alarmas que salen del sistema y, en función de eso, intervenir cambiando partes. No es gente que esté para meterse en los programas, modificar instrucciones o investigar y acceder a zonas de memoria donde puede estar cargada determinada información. La gente que tiene esa capacitación, básicamente, es la que está en ingeniería, gente que conoce mucho más la parte técnica de los equipos en detalle. - ¿Y los empleados que tipean las claves? - Y... eso sí. Nadie lo niega. Pero la información no estaba dispersa: la manejaba una sola persona cuando era ENTel. Ahora sigue igual: hay una única persona que tiene las herramientas y los mecanismos para cargar por primera vez las claves en el sistema. - Entonces la seguridad estaba controlada desde el inicio. - Bueno, no. En 1982, 1983, cuando arrancó el servicio, había desprolijidades administrativas gordas, que fueron rápidamente detectadas y cortadas. Venia un cliente a pedir una password y se escribía en un papelito: era un trámite administrativo más, un formulario que se llenaba y circulaba por toda la oficina! - ¿Cómo llegaba la password al cliente? - Se la enviaban en un sobre cerrado. Después se hizo un papel con un lado oscuro para que no se pudiera leer a trasluz. Pero en el comienzo, fue de terror. La Pesquisa de las Claves ------------------------- De aquellos tiempos se acuerdan Sticky y Truchex. Sticky comenzó –como casi todos en Buenos Aires- con algunas claves de CIBA, pero no pasó mucho tiempo sin obtener NUIs de ARPAC. Cuenta que los hackers más avezados derivaban a los novatos hacia Altos, Alemania, cuando querían averiguar de dónde llamaban, y una vez allí accionaban un comando que descubría nombre, procedencia y NUI (sin la password, obviamente); si el prefijo era 7220 o 7221 se trataba de un argentino. "Para que no pudieran rastrearnos pasábamos por computadoras de distintos países, llamadas PADs, que permitían salir de la red y volver a entrar", explica Sticky, y exhibe unos papeles: "Acá esta las PADs de Francia, Inglaterra, Taiwán... Acá está la de Timenet para Francia. Ahí había un programa trampa para sacar información que puso un amigo mío. Le decía a todo el mundo `Miren cómo se puede saltar a tal lado' y los flacos se mandaban. Cuando pasaba una comunicación por ahí, el programa se robaba el NUA de destino. ¡Cómo compilaba información!" En esa época no era muy conocido el hacking y los instaladores olvidaban borrar las cuentas default (por defecto) que trae el sistema original para mantenimiento. Aprovechando ese descuido, Sticky ingresaba en cuanto sistema se le cruzaba en el camino y, entre otras cosas, averiguan a outdials. 61 - En Altos te daban algunos -recuerda-, pero después se descubrió cómo era el outdial: es el código de zona y un número. Entonces apareció el programa que servía para escanear los números y evitar que ARPAC te cortara. - ¿Qué conseguiste en Altos? - Esta -saca otra anotación- era la NASA: con "guest", entrábamos. Una vez entré a la Agencia Especial Europea para ver qué era: los del Chaos la habían hecho pelota, tenías cualquier cosa a tu disposición ahí adentro. Era demasiado grande para mí, no quise ir en cana. Por las dudas... Tengo muchas cosas apuntadas... Del dicho al hecho, Sticky da vuelta cajones repletos de notas y, a medida que los mira, detalla: "PAD de ENTel con ARPAC; Sudáfrica, acá también estaba lleno de atorrantes; el Banco de Tokio; una lista de posibilidades que hice cuando le cambiaron la password a FATE. Este es el menú principal de Charlie ¿Les hablaron de Charlie? era un BBS que te pedía solo el número de teléfono; yo entraba y hacía un listado de todos los tipos que se habían conectado para conseguir los números. Conozco una chica que cambió el teléfono porque la volvían loca con los llamados...". La lista continúa por minutos, hasta que encuentra varios papeles de passwords acordadas. - Son todas truchas -dice Sticky al mostrarlas-, ya no sirven. Las usábamos para entrar a Compuserve. Si les habré pasado los números a varios amigos! En esa época me llegaban boletines de tarjetas de crédito vencidas y sacaba los datos de ahí. Sticky se refiere al carding, el arte de abusar de tarjetas de crédito ajenas. El fin más común del carding era abrir cuentas en sistemas en línea de los Estados Unidos, como Compuserve. Originalmente, teniendo un listado de tarjetas de crédito canceladas, de los que se encuentran en cualquier banco, era facilísimo lograrlo. Cuando el sistema preguntaba el nombre, la dirección y demás datos, se brindaba información falsa; cuando pedía la tarjeta de crédito, se ponía el número de una cancelada. Como no validaban en el momento, la cuenta se abría con una password provisoria y podía durar una o dos semanas, hasta que llegara -mas bien, no llegara- la confirmación. - ¿Nunca los descubrieron? - ¿Quién corno, en esa época, iba a venir a la Argentina para averiguar quién estaba haciendo cuentas truchas? Se pudrió cuando Compuserve llegó al país. Los tipos se cansaron de que los truchearan. Las cuentas duraban unos doce días y, mientras tanto, tenías acceso a casi todo, excepto cosas muy importantes. Como no daban mucha bolilla hacíamos de todo. Hasta entramos a la máquina de reserva de los vuelos!: podíamos conseguir pasajes para cualquier lado. Adam, el de las pinchaduras telefónicas, también conocía los principios del carding y las posibilidades de acceder a las reservas de vuelos. Una vez, en Miami, reservó un pasaje aéreo vía Compuserve y lo pagó con una tarjeta de crédito. Lo único que tenia de la tarjeta era el cupón que un usuario descuidado se había olvidado en una estación de servicio. El pasaje lo usó una señorita en apuros que debía alejarse con urgencia de La Florida. Se rumorea que un hacker local, hoy importante empresario de telecomunicaciones generó medio centenar de cuentas mediante carding y las vendió en una reunión de usuarios de un BBS. Ofrecía un paquete completo: NUI de Arpac, NUA de Compuserve y clave de acceso, más las 62 El usuario confiaba en una voz en el teléfono y daba su password. Si hubiese leído el manual que le entregaron con su cuenta, aun esa hoja mecanografiada, hubiera sabido que CLR NC significaba que la red estaba congestionada y era imposible establecer una comunicación en ese momento. De esa manera muchas empresas perdieron claves. Un hacker hizo este trabajo para tener una cuenta exclusiva que le durara mucho tiempo. Pero se la pasó confiadamente a un hacker mexicano que tenía muchos amigos en Buenos Aires. Al poco tiempo circulaba entre por lo menos diez personas y la empresa en cuestión tuvo que pagar una cuenta de veinte mil dólares. Pero eso fue en los últimos años de ENTel. En los tiempos dorados, cuando las claves duraban meses gracias a la ineficiencia de la telefónica estatal, las NUIs robadas circulaban con absoluta libertad. Los que se comunicaban con cierto BBS se reunían periódicamente para intercambiar software, pirateado o de dominio público. En una de esas reuniones estaba Alejandra, quien junto al dueño de casa llamó a Truchex para conseguir una NUI. Ni bien cortaron dijeron a las treinta o cuarenta personas presentes: "Anoten: N91..." En ese momento se desató una lucha por el lápiz y el papel para anotar el número mágico que les permitiría llamar gratis a todos lados. Una de las claves, conseguida por un peruano, duró prácticamente un año y la usaba todo el mundo. Pocos días después de que dejó de funcionar, en una reunión de piratas, Der Katz se presentó con un cartel: "Adiós A123Z". Fue la despedida. Otras maneras de conseguir NUIs era engañar a algún hacker. Doctor Trucho convenció a un colega de que le prestara su clave para llamar a cierto lugar. - Okay, pero te conecto desde mi casa y tipeo la clave yo, porque si la ves me la vas a robar- sospechó el amigo. - Pero, che! Me parece de mal gusto que desconfíes así. En fin, para que veas que no hay ningún problema, hagámoslo a tu modo. Lo único que te pido es que usemos una línea que conozco, que tiene menos ruidos. Como vos no me das tu clave, yo llamo a ARPAC y, una vez conectados, te dejo operar a vos. - Hecho El número al que llamó Doctor Trucho era la casa de El Chacal, quien estaba esperando con un modem y un programita que emulaba ARPAC. Se conectaron, el incauto tipeó la clave, El Chacal la guardó en un archivo de su computadora y devolvió un CLR NC. - Está congestionado. Probemos otro día- propuso Doctor Trucho. - Bueno, no hay problema. El Doctor nunca volvió. La demanda de passwords nuevas era tal que dos hackers diseñaron un virus informático especializado en capturar NUIs. Su misión era copiarse en toda máquina que pudiese y esperar que se tecleara "N91". Guardaba las teclas en su propio código y se reproducía con esa información adentro. La esperanza de estos hackers era encontrarse en algún lugar con una copia del virus que tuviera una NUI nueva. Pero nunca lo probaron, a pesar de que parecía buena idea. La época del hacking indiscriminado a ARPAC termino unos dos años después de su privatización, cuando agregaron la posibilidad de consultar las llamadas realizadas y cambiar la password en línea y sin demoras. Eso demuestra que la causa de los problemas de ARPAC era el manejo ineficiente de las claves, que 65 permitía que se siguieran usando durante meses después de robadas, e incluso denunciadas. Otra causa de la decadencia fue la velocidad de comunicación: 1200 BPS hasta 1993 (luego subió a 2400), mientras que una técnica antigua en los Estados Unidos, y novedosa en la Argentina, permitía usar toda la capacidad de los nuevos modems de 14400 BPS: la Blue Box (caja azul). JOVEN (HACKER) ARGENTINO ======================== "Para los argentinos la libertad es algo que no se toma a la ligera. No fue hace mucho que los jóvenes que se manifestaban contra el gobierno (militar) o hacían algo que la Junta consideraba inaceptable simplemente desaparecían sin que se volviera a saber de ellos nunca más. La gente que entiende la tecnología y tiene la voluntad de aprovecharla en beneficio de una mayor libertad individual siempre va a encabezar la lista de enemigos de un régimen represivo. No podemos cerrar los ojos ante este hecho ni engañarnos pensando que estamos a salvo de esas fuerzas malignas." EMMANUEL GOLDSTEIN, "INSPIRACION", EN 2600 (VOLUMEN ONCE, NUMERO CUATRO) Cajitas de Colores ------------------ En 1992 muchos usuarios de diversos países comenzaron a conectarse con algunos BBSs underground de Buenos Aires. Alemania y los Estados Unidos eran los orígenes más frecuentes, pero todos tenían dos cosas en común: usaban computadoras Commodore Amiga y llamaban a través de la Blue Box. Los hackers locales no tardaron en averiguar el modo en que llamaban y empezaron a hacer preguntas. Poco a poco juntaron la información necesaria como para practicar Blue Boxing por su cuenta: a qué números llamar, qué frecuencias usar, cómo hacerlo. Esta actividad -vieja en los Estados Unidos, casi en desuso por los controles y la legislación en su contra- empezó en Argentina en los 90, gracias a los avances tecnológicos. Hasta esos años la mayoría de las centrales telefónicas eran mecánicas o electromecánicas y no había modo de llamar al exterior directamente. En esas condiciones, la Blue Box era imposible, solo se podía intentar la Black Box. La instalación de líneas telefónicas con DDI y centrales digitales permitió que las cajas azules llegaran a la Argentina y se expandieran. A pesar de tener todos los elementos técnicos, un obstáculo detenía a los hackers argentinos: sus colegas extranjeros hacían Blue Boxing con programas para Amiga y los locales no tenían una. Las opciones eran construir una Blue Box por hardware (el clásico aparatito que se usaba en los 60) o conseguir algún programa que funcionara en PC, usando una placa de sonido para emitir los tonos adecuados de acuerdo con la tecla que se pulsara. Como nadie tenía ganas o conocimientos como para hacer lo primero, se dedicaron a la segunda opción. Al fin llegó un programa para PC: el 66 Omega Box. De origen italiano, se podía configurar para abusar con tranquilidad de la empresa telefónica que se eligiera. Comenzaron con los códigos de France Telecom: llamaban a un número gratuito en Francia, cuyo uso normal era para cobro revertido, y una vez conectados tomaban el control de la comunicación con la Blue Box, que les permitía llamar prácticamente a todo el mundo. Cuando las compañías cambiaban sus códigos, probaban con otras: telefónica de España, la norteamericana MCI, la telefónica de Chile o Australia. - Che, Joe, decime una cosa ¿cómo se usa este programa? Estoy escuchando los ruiditos, que son muy flasheros pero no me dicen mucho –preguntó Alan Turing. - Es fácil. Mirá: con Q das el hang-up (señal para que corte el teléfono); con W, el pedido de línea; con D, el teléfono. Con T das el hang-up y pedido de línea con los tiempos que requiere Telecom France -contestó Joe Montana. - Pero la secuencia, entonces, ¿cómo es? ¿Pongo el teléfono al lado del parlantito? - Llamás al 00-33-800-999-111. Cuando te atiende el operador, le mandás Q hasta que escuches un pitido chiquito detrás. Obviamente, ahí tenés que acercar el fono al parlante, o el parlante al fono. Después dale T, así te manda con los espacios reglamentarios, ahí le das el D para que disque y... voila! - Okay. Voy a ver que tal anda. ¿Vos como tenés conectada la placa de sonido? - Directamente. - ¿Con qué salida? Porque es estéreo... - Ni idea, la mía es mono. Pero ojo, que manda los mismos tonos por los dos canales! - Ah, joya. ¿Y el tema de las compañías, cómo es? ¿Tengo que seleccionar Francia? ¿O cualquiera? - No, no: sólo Francia. - Otra cosa. Cuando vos llamabas a Estados Unidos, ¿ponías 10 en vez de 1? - Es así: primero ponés B y el código del país, en ese caso 1; después ponés 0 (eso significa máxima prioridad en el satélite) y mandás el código con el de larga distancia incluido. - ¿Cómo, cómo? Dame un ejemplo. - B490896017504C. Eso es Munich. código de Alemania, 49; código de la ciudad, 89. El resto es el teléfono. Al final hay que poner C. El dialogo surge de la memoria de Alan Turing, quien además recuerda la fascinación que ejercía el Blue Boxing en quienes lo practicaban: "Uno llamaba a MCI y la operadora preguntaba `May I help you?' (`¿Puedo ayudarlo?'). La tentación era decirle: `Yes. Please, hang up' (`Sí. Por favor, cuelgue')". La primera orden que se le daba a la central desde la Blue Box para tomar control de la línea 67 De la nueva generación de hackers argentinos, Opii es uno de los más reconocidos, pero se niega incondicionalmente a relatar sus aventuras. "La paranoia tal vez suene exagerada -admite a modo de disculpa-, pero no es así. Tengo muchos amigos que cayeron en las manos del FBI, en Estados Unidos. Les hicieron juicios: algunos fueron a la cárcel, a otros les dieron distintas penas, pero a casi todos les sacaron las computadoras, es decir, todo lo que tenían. Y en general eso pasó porque hablaron de más, porque dijeron `Yo entré a tal lugar, hice esto o lo otro'. Eso llama la atención, ¿no?. Si bien en la Argentina todavía no hay legislación y el hacking no es tan conocido, yo, por lo menos, no quiero llamar la atención y ser el hacker. Podrían decir `Ah, seguro que eso lo hizo Opii." Janx Spirit refuerza las explicaciones: "Si yo te digo que hackeé la SIDE, que les di vuelta todo, y lo lee el tipo que era operador de la SIDE, se va a enojar mucho, va a hacer lo imposible para averiguar quién soy y romperme la cabeza, ¿no? Yo no quiero problemas". Opii tiene veintitrés años. Comenzó su relación con las computadoras a los doce, cuando en su casa compraron una Commodore VIC 20 que le servía para programar en BASIC. Pasó por un modelo 64 y un modem con el cual se comunicaba con sus amigos, hasta que llegó a una vieja PC. "De alguna forma conseguí ciertos números, ciertas claves para entrar a ciertos lugares. Debe haber sido en el '89, cuando CIBA era utilizable. Un día vi unos números en unas carpetas; me fijé qué eran y vi cosas extrañas... Me gustó y listo. Después llamé a esos lugares, conocí a otra gente y aprendí un montón", explica Opii, alardeando de lo específico de su confesión. - Cuando encontraste esos números, ¿ya sabías para qué servían? - Tenía una vaga idea: eran para llamar a algún lugar, pero no sabía adónde ni qué había. Y, bueno, probé. Puse la clave, llamé por teléfono y me encontré en un lugar donde había otra gente conectada. Se intercambiaban mensajes. Okay, tengo que admitir que el primer lugar al que ingresé era QSD. Un lugar que, digamos, resulta interesante un par de minutos. - ¿Te abrió otras puertas? - Para nada. Solo me sirvió para saber que había gente en otros lugares, que se podían mandar y recibir mensajes o conversar con personas que no conocía. Me pareció bárbaro, impresionante... conocí gente que, de otra manera, nunca podría haber conocido. Después siempre traté de aprender cómo funcionaban las cosas que encontraba: un sistema, una máquina... saber qué se podía hacer con eso. Janx Spirit tiene diecinueve años y está muy preocupado por parecer un chico duro. "Uno de mis hobbies es salir los sábados por la noche a... bueno, digamos a destruir. Nada en particular -precisa, riéndose-: destrucción en general. Cosas divertidas, para pasar el rato. Después, nada: salir, pasarla bien hasta que tenga que pasarla mal". Sobre su metier comienza por señalar que la primera máquina que vio fue una Commodore 16. "Ni bien entró a mi casa salió de una patada. La había comprado mi viejo pero con mis hermanos le dijimos que no, que queríamos una 64. De ahí pasamos a una XT, que me pareció una garcha; entonces me compré una Amiga y un modem de 300, con los que conseguí pocas cosas buenas. Recién con la AT y un modem de 1200 empecé a conocer gente, lugares, cosas... De eso hará unos dos, tres o cuatro años... No sé, no me acuerdo con precisión." - ¿Cómo conociste a Opii? 70 - Porque una vez el muy infeliz me mandó un mensaje. De entrada le dije que se fuera a la mierda, pero me enteré de que no era un boludo y le contesté un poquito mejor. Entonces empezamos a mandarnos mensajes. Logical Backdoor, diecinueve años, asiente ante las intervenciones de sus colegas. Se pierde en una delirante explicación sobre el origen de su alias -mezcla puertas traseras, programación en Clipper y las opciones "True" y "False" ("Verdadero" y "Falso")- para desaparecer en beneficio de "otros planes más interesantes que charlar". Opii y Janx se hacen cargo de una pizza, varias cervezas y las respuestas. - ¿Son una banda? - No sé si tanto como una banda. Una jauría, tal vez. Somos un grupo de amigos -sostiene Janx-, no una barra armada. Por ahí hacemos cosas organizadamente, pero de casualidad, porque organizarnos es un trabajo terrible. - HBO, ¿no es de todos? - Sí, pero la cuestión es que no hace falta un BBS que diga las veinticuatro horas `Esto es HBO' para tener un lugar donde hacer lo que queremos. No hay grupo. Somos amigos que se reúnen y hacen cosas porque tienen ganas -define Opii. - No se trata de un grupo que se dedica a hackear organizadamente. Hay cosas que son más fáciles de hacer con otras personas: lo que uno no sabe o no tiene, el otro sí. Eso es todo. Digamos que nos complementamos. -reafirma Janx. - ¿Qué hicieron juntos? - En cierto viaje -a cierto lugar de Sudamérica, para ser generoso con los detalles- nos encontramos en el área de embarque y estuvimos a punto de decidir adónde nos íbamos. Alguien se había olvidado de apagar las maquinitas, las dejaron solas y nos pusimos averiguar cómo trabajaban: casi sacamos una password para irnos a cualquier parte del mundo, pero no había vuelo a ningún lugar interesante -evoca Opii y cuando mira a su amigo ríen los dos. Ambos son de la vieja guardia: aprenden los sistemas, los respetan y no consideran hackers "a los tipos que solo quieren usar algo -hacer llamadas gratis, sacar alguna ventaja-, a los que no les interesa por qué o cómo hacen las cosas. Esos se contentan con una clave, la usan hasta que no funciona más y tienen que esperar a que alguien les de otra", describe con desprecio Opii. Janx completa: "están los que destruyen cosas, los que disfrutan de entrar a un lugar y borrar todo. Tal vez se sientan poderosos, pero a mí me parece estúpido eso de andar a los hachazos. Están también los que entran a lugares, para sacar información y venderla: desde mi punto de vista, son mercenarios". - Algunos quieren saber qué están haciendo -interrumpe Opii-, cómo funcionan las cosas y qué uso diferente se les puede dar; tratan de investigar lo que encuentran, que por ahí es un sistema o una súper computadora, como la CRAY, procesadora de cuentas corrientes. A mí no me interesan las cuentas corrientes, pero quizá puedo usar la computadora para otra cosa. - ¿Aprendieron algo hackeando? 71 - Mucho. De hecho -argumenta Opii- más que en la escuela, la universidad o un curso de cualquier cosa. Por ejemplo, jamás en mi vida fui administrador de una maquina VAX y, sin embargo, puedo manejarla. Jamás en mi vida tuve un UNIX, pero lo conocí tres años antes de que me lo enseñaran en el colegio. El asunto es hacerse preguntas. La red telefónica se usa todos los días, pero nadie sabe qué pasa al marcar los números: la gente sólo entiende que del otro lado suena y alguien contesta. Pero en el medio, ¿qué pasa?; después, ¿qué pasa? A mí me gusta eso. Mentiría si dijera cómo funciona la red telefónica -es muy complicada-, pero algo aprendí. - El problema es el mito de los hackers como genios -lanza Janx-: eso es mentira. - Tal cual. En realidad -agrega Opii-, los usuarios son idiotas. Eso es lo que pasa. No necesitás ser un genio: es cuestión de sentido común. Cierta inteligencia, alguna idea, sentido común, y tiempo. Nada más. - Janx, antes hablabas de tus hábitos destructivos. ¿También te interesa romper sistemas? - No, eso es distinto. Destruir es para mí una simple expresión de agresividad, pero cuando le pego a la tecla no le pego a nada. Si rompo algo es físico, como un auto -por ejemplo-, y lo hago caminando por la calle, no adelante de una computadora. Me siento un pobre infeliz si desarrollo violencia detrás de la computadora. - Claro. Igual que el cybersex -compara Opii-: violencia o sexo a través de la computadora es una estupidez. Si querés eso andá a la calle, a algún lugar. Pero sentarte frente a la pantalla, como un idiota, a escribir "Oh, yes, Marcia! Yes, yes! - Oh, oh, ah, ahhh!"... Para ellos no es difícil conseguir información que les permita incursionar por cualquier empresa: aseguran que con solo husmear en la guía telefónica se puede averiguar las líneas de datos. Un banco local de primer nivel anuncia el número telefónico de su banca electrónica; al discarlo, un modem atiende el llamado y, de allí en adelante, hay que alumbrar alguna idea, o probar. Ninguno de los dos incursionó en los bancos porque no les interesa el dinero, pero saben que en general tienen sus propios sistemas o utilizan mainframes, algo corriente en cualquier lugar del mundo. Para Opii las cosas que se encuentran aquí "son muy aburridas: no hay información jugosa, que te haga cagar de risa". - ¿Qué es una información jugosa? - Recuerdo un administrador de un sistema UNIX pirateando software en una red internacional. El tipo -describe Opii- distribuía en una red: la comunicación era por e-mail, se anunciaba "Puse el Corel Draw 5.0 en tal lugar; bajátelo y pasame este o el otro". En teoría, no podía estar haciendo estas cosas: supuestamente era el representante de la ley, que siempre causa problemas. Cuento lo que vi en una red internacional. No preguntes más. - Creo que tenemos un sentido del humor particular. Por ejemplo –se jacta Janx- estás escondido en un lugar y el administrador dice: "Me parece que tenemos hackers", pero se refiere a una cuestión natural, como una mala manipulación del sistema, que puede ser, o dar un OK cuando no corresponde. Es divertido verlos hablando sobre los hackers porque el directorio tal se les llenó de basura y resulta 72 - Es aburrido cuando uno no sabe y el otro sí -aclara Opii. - Si estoy saliendo con alguien y esa persona no tiene ni idea de este tipo de cosas, no me voy a poner en una máquina a hackear o programar, porque se supone que le tengo cierto aprecio. No voy a hacer que esté aburrida durante tres horas mirándome mientras yo estoy programando... No le voy a decir "Callate que me desconcentras". En los años que llevan de hacking conocieron a muchos colegas de otros países, pero se niegan a dar sus nombres. "Hace años -recuerda Opii- había un sistema en Alemania donde entraban hackers de todas partes del mundo, un sistema de charla. Yo entré ahí cuando empecé y conocí a un montón de gente. Después ese lugar dejó de existir, pero hubo otro y después otro, y de repente ya no hubo ninguno más, por lo menos en cuanto a las redes X.25. Ahora estás por ahí y te encontrás con alguien que recordás haber conocido en otra época. Y te hacés amigos hasta cierto punto. En mi caso, no son amigos de los cuales me fiaría un cien por ciento. De hecho, yo no confío en nadie totalmente." "Los amigos de la computadora –sentencia Janx- son amigos de hacking. De ahí a otra cosa..." Todo Para el Hacker ------------------- En el país, como en el resto del mundo, la comunidad hacker tiene publicaciones que actúan de informadoras y formadoras. Uno de los formatos más acorde con las actividades que realizan es el electrónico, ya que así pueden recuperar ejemplares de los BBSs que las distribuyen. Es el caso de Minotauro, dirigida por Lapidario y Drako y que se distribuye a través del BBS Dionysios, dedicado principalmente al tema virus pero que mantiene áreas de hacking. Su sysop (el operador del sistema) es Zarathustra, quien en sociedad con Drako instaló otro nodo, Dionysios II, la sede de Minotauro, que se trabaja en formato ASCII. En el editorial del primer número, los directores se presentaban y anunciaban sus intenciones: recopilar información útil y presentarla en un solo lugar. Como no solo de BBSs y formatos electrónicos vive el hacker, las revistas impresas no están ausentes. Así como 2600 es la cara de los hackers norteamericanos en papel, en el país la representante es Virus Report, su manual de supervivencia informática, única en su estilo. Debutó en 1993 como nuevo producto de MP Ediciones y a partir del número nueve se independizó para convertirse en una publicación de Ediciones Ubik. Su temática incluye mucho más que noticias sobre y para hackers: también acerca a los lectores material sobre virus informáticos -analizados extensamente-, criticas literarias -ciencia ficción, cyberpunk y novelas basadas en hechos reales de hacking-, comentarios sobre los delitos que se dieron en llamar informáticos y análisis de legislación al respecto. La tirada de cinco mil ejemplares dice que la comunidad argentina de hackers está aun lejos de alcanzar la importancia de otras en el mundo, pero también demuestra que la vorágine de las comunicaciones telemáticas se acerca a pasos agigantados, aunque el desarrollo tecnológico no sea justamente el del Primer Mundo. Por ser una revista chica (tiene dieciséis paginas), con escaso apoyo publicitario, Virus tuvo en su trayectoria dificultades para llegar al interior del país. Sobre todo los estudiantes de carreras relacionadas con computación -que la transformaron en su texto de cabecera- la esperan todos los meses y no siempre la reciben: más de una vez el número no aparece y deben reclamarlo por correo a los editores. Gracias a las conexiones con Internet, Virus sale del ámbito vernáculo para brindar información sobre lo que pasa en el resto del universo hacker. Reportajes a 75 líderes como Emmanuel Goldstein y notas sobre las reuniones globales organizadas por los holandeses de Hack-Tic suelen poblar sus páginas y son elementales para la actualización y el vínculo de los locales con la realidad global. En 1993, cuando Virus Report todavía era publicada por MP Ediciones, recibió en su redacción una llamada de alguien que se identificaba como Ivan Hammer. Decía tener un BBS de intercambio de virus, Satanic Brain, y quería que se publicara algo en la revista. En realidad, en ese momento no tenía demasiado: una colección de virus y algunos textos sobre hacking. Su verdadero alias era Azrael y justificaba su BBS como un lugar para aprender. "La idea básica es que la gente que está interesada en el tema pueda darse cuenta de que la computación no es solamente lo que le dicen -dice Azrael-, no es tener un Windows o un utilitario de ese tipo. Y a los que quieren programar les puede servir para notar que hay lenguajes de bajo nivel que nadie utiliza. En general, el punto es demostrar que se pueden hacer cosas con la computadora, que por medio de un virus se aprende mucho más que programando una base de datos." Satanic Brain y sus operadores se despegaron rápidamente de sus humildes comienzos y crecieron a un ritmo acelerado. La documentación del programa Virus Creation Lab (VCL, Laboratorio de creación de virus) tenía información sobre cómo contactarse con los BBSs de virus de los Estados Unidos, puente para acceder a NuKE, red de BBSs. Una vez conectados, la relación se fortaleció con diversos intercambios y hoy son coordinadores de NuKE para Latinoamérica. Ser miembro de esa red significaba tener acceso a su base de virus, y además, de hacking. "NuKE es un grupo de programadores de virus internacional -explica Azrael-; los trabajos que más se conocen son el Npox, en Estados Unidos, y el VCL de Nowhere Man. Tenemos gente distribuida por todo el mundo: Australia, Europa, Suiza, África, los Estados Unidos y Canadá". Los integrantes se mantienen en contacto a través del e-mail, que utilizan una vez por semana. -Tenemos un área de mensajería productiva -cuenta el sysop de Satanic Brain-, donde se tratan cosas que pueden ayudar a la gente que esté interesada en el tema. - ¿Quién se entera de lo que ustedes hablan por e-mail? - Cualquiera puede leerlo; una persona que hace antivirus puede acceder y sacar material de virus nuevos que estamos haciendo. Y también hacemos trabajos en común. Pero NuKE no se dedica exclusivamente a virus: el grupo tiende cada vez más al hacking. Y Satanic Brain no podía ser menos. En la actualidad, cuenta con la gente de HBO como sysops en el área de hacking, en especial Opii. El BBS cambia permanentemente. Azrael instala software nuevo cada semana, con lo que obliga a los viejos usuarios a volver a registrarse. El efecto es que los únicos que permanecen son los conocidos y amigos de Azrael. A pesar de sostener que la información sobre virus debe regalarse y ponerse a disposición de todos, mantiene un constante ataque a los "lamers", usuarios nuevos que no saben mucho del tema. Es extremadamente difícil acceder a la información del BBS, y mucho más si el que la busca no demuestra tener los conocimientos que conforman a su operador. La gente de Minotauro y Dionysios formó un grupo de hacking y virus llamado DAN (Digital Anarchy, Anarquía Digital), que en cierta medida pretende competir con Nuke en el nivel nacional. Su fuerte es la creación de virus, pero tienen un gran interés en el hacking. Por el momento, las actividades que organizan son escaneos de números 800 (gratuitos, recientemente instalados en el país) e intentos de hacking a tarjetas telefónicas. 76 El Primer Encuentro ------------------- En octubre de 1994, Virus se colocó a la cabeza del movimiento al organizar el Primer Congreso sobre Hacking, Virus y Computer Undeground del país, que se desarrolló en el Centro Cultural Recoleta de Capital Federal. Durante tres días, los habitues del Centro se vieron sorprendidos por muchachos de pelos muy largos y remeras estrafalarias que ganaron los pasillos en grupos y nunca abandonaron sus teléfonos celulares. El microcine del Centro, con capacidad para ciento cincuenta personas, fue desbordado desde el primer día. Con anuncios en casi todas las radios y diarios, el congreso convocó a un promedio de trescientos asistentes por jornada, casi la mitad de ellos provenientes de las provincias con ansias de recoger información para sus estudios o, en el caso de los profesores, para las escuelas donde desarrollan su actividad. La intención de los organizadores era lograr un encuentro internacional, nada fácil si se tiene en cuenta la enorme distancia entre este país y los desarrollados, hecho complicado por la ausencia de fondos para solventar pasajes y gastos de los invitados extranjeros. Sin embargo, hubo importantes visitas: el famoso Emmanuel Goldstein, Mark Ludwig -especialista en virus informáticos y autor de libros sobre el tema- y Patrice Riemens, uno de los organizadores del Galactic Hacker Party de 1989. Ellos pagaron sus viajes y aquí recibieron alojamiento en los voluntariosos hogares de amigos y colegas. El congreso abrió sus sesiones con un tema candente en los Estados Unidos: encriptación de datos y el programa PGP. Daniel Sentinelli -asesor de seguridad informática- y Leandro Caniglia -programador y doctor en matemáticas- explicaron los principios básicos del PGP y dieron una visión matemática para aclarar en qué se basa la cuestión de claves públicas y privadas. En momentos en que la comunidad informatizada de los Estados Unidos debate el derecho del gobierno para imponer una encriptación exclusiva, cuyas claves quedarían en poder de los servicios de información norteamericanos, la charla constituyó una excelente oportunidad para entender la cuestión y clarificarla. Mark Ludwig se explayó, poco después, en un análisis sobre los virus informáticos y su relación con la vida artificial, tema central de su segundo libro Computer Virus, Artificial Life and Evolution. Aquellos que esperaban una explicación rápida y sencilla de cómo crear virus, quedaron un tanto decepcionados. Ludwig fue un expositor de alto nivel académico. La mesa sobre revistas del underground computacional generó una discusión de principios: ¿es lícito cobrar los ejemplares cuando se está a favor de la libre información? Las opiniones de Lapidario y Drako, en representación de Minotauro, Martín Salias y Fernando Bonsembiante, por Virus, y Mark Ludwig, por Computer Virus Development, no alcanzaron para clarificar el tema y la contradicción quedó sin resolver. Lapidario, para reforzar su postura a favor de la gratuidad, regaló diskettes con el último número de Minotauro y sostuvo que el objetivo era que la gente con escasos conocimientos pudiera aprender rápido sin tener que llamar permanentemente al BBS para plantear sus dudas. Pero hubo otros momentos de mayor emoción y que ganaron la atención de todo el mundo. - Ahora que nadie nos escucha podemos hablar sobre el lavado de ese dinero. - Bueno, que te parece si... Las voces se difundían a través de los parlantes del microcine y la conversación por teléfono celular entre Daniel Sentinelli y Fernando Bonsembiante se interrumpió por las carcajadas de los presentes. La demostración que hizo Pablo Untroib 77 Si es Viernes es Virus ---------------------- Los hackers locales siguen los pasos del movimiento mundial, en ocasiones tal vez demasiado puntillosamente: así como los lectores de 2600 se reúnen los primeros viernes de cada mes en algún lugar público para intercambiar experiencias, en Buenos Aires comenzaron a organizarse durante 1994 reuniones de lectores de Virus Report. En principio se anunciaron como encuentros de seguidores de 2600, pero luego se transformaron en mitines de lectores de las dos revistas. Allí se juntan Azrael, Opii, Zarathustra, Drako, El Chacal, asesores en seguridad que trabajan para grandes empresas y todo tipo de gente. La cita es a partir de las 17 horas en un bar cerca del Congreso. Quizá sea el único momento en el que es posible ver a integrantes de PUA, HBO, NuKE y DAN en una misma mesa. Lo que no significa que haya paz. El Chacal siempre discute con los HBO, Azrael critica a los DAN, éstos se quejan del elitismo de Azrael. Pero el clima general es bastante tranquilo. Se intercambian diskettes, CD ROMs, cintas de backup; sacan fotocopias a montones (para el beneplácito de la fotocopiadora vecina al bar) y, sobre todo, charlan hasta por los codos. Siempre hay un grupito hablando de virus y otro de hacking. Nunca falta el alarmista que anuncia "una razzia de la policía en cualquier momento". Pero la Argentina no es los Estados Unidos y la falta de leyes sobre el hacking protege a los asistentes. De todas maneras, nadie hace hacking en la reunión ni toca alguno de los dos teléfonos públicos del bar y casi nunca hay computadoras. Es el lugar ideal para hablar de presentes y futuros. En estos días El Chacal es un reconocido asesor de seguridad informática para empresas y afirma que el costo por el uso de líneas telefónicas y de tiempo de computadora es algo contemplado por cualquier empresa. Del hacking rescata la manera de estructurar los conocimientos y reconoce que su actual posición económica se debe indirectamente a sus tiempos de hacker; así pudo adquirir conocimientos que hoy aplica a otros ámbitos, como el desarrollo de técnicas de seguridad. "Técnicas de seguridad infalibles", se burla para aclarar de inmediato que no existe nada absolutamente seguro. Se manifiesta, todavía, a favor del libre flujo de la información, aunque reconoce que hace pocos años era un poco más anarquista y romántico. - Hackear tiene algo de voyeurismo, una gran cuota de satisfacción intelectual. Es una necesidad básica, como el sexo, la comida, la droga y el rock & roll -compara. - ¿Por qué sos asesor entonces? - Con el tiempo un hacker se aburre de mover sólo sus piezas, sin tener respuesta. Por eso se transforma en asesor de empresas: para hacer la jugada de ataque y también tener el desafío de diseñar la defensa. Es como jugar al ajedrez: si ganás dándole con las piezas por la cabeza al otro no tiene gracia. El hacking es un desafío intelectual. Sticky confiesa que ya abandonó la actividad porque "cuando tenés pibes no podés estar haciendo un chat (conversación por modem), concentrado, sin fijarte si alguno de ellos se te rompe la cabeza. Además yo no era un hacker, me interesaba copiar programas y mirar lo que hacían los otros, nada más". Ni nada menos. Truchex se dedica a programar sistemas comerciales y administrativos y tiene un BBS al que le dedica sus ratos libres los fines de semana. Afirma que no volvió a tener contacto con los hackers extranjeros y cree que eso le pasó a todos una vez 80 que superaron los veinte años. "Yo me río mucho cuando oigo hablar de los nuevos hackers -dice-. Los veo tan ridículos y gansos. Me río cuando me doy cuenta que están haciendo exactamente las mismas cosas, qué maravilloso. Yo no podía entender que a otra gente le pareciera mal. Me parece que los años no vienen solos, estoy hecho un viejo de mierda." HACKEAR (Y) LA LEY ================== "Si seguimos haciendo que el acceso a la tecnología sea difícil, burocrático e ilógico, habrá más crimen informático. Por la sencilla razón de que si se trata a alguien como un criminal comenzará a actuar como uno. Si convencemos a la gente de que copiar un archivo es lo mismo que robar, físicamente, algo, no podemos sorprendernos cuando una definición tan amplia redunda en más crimen en sentido amplio. Desdibujar el límite entre una infracción virtual y un crimen verdadero es un error." CARTA DE EMMANUEL GOLDSTEIN AL CONGRESO DE LOS ESTADOS UNIDOS "Todas las áreas dependen hoy, sabiamente o no, de sistemas informáticos. El dinero, las carreras y posiblemente inclusive sus vidas dependen del funcionamiento permanente de las computadoras. Como sociedad, no podemos darnos el lujo de perdonar o estimular conductas que amenacen o dañen los sistemas informáticos. Como profesionales, los científicos y los ingenieros de computadoras no podemos darnos el lujo de tolerar que se haga una figura romántica de los vándalos y criminales de las computadoras." EUGENE H. SPAFFORD EN THE INTERNET WORM PROGRAM: AN ANALYSIS (EL PROGRAMA DEL GUSANO DE INTERNET: UN ANALISIS) Estados Unidos -------------- Más de un trillón de dólares se mueve por semana alrededor del mundo electrónicamente. En los Estados Unidos cada año se pierden cuatro mil millones de dólares en datos robados y soft pirateado. Paul Saffo, investigador del Instituto para el Futuro de Menlo Park, California, sostiene que "nadie tiene idea de lo que se puede hacer con un sistema hasta que una banda de chicos empieza a jugar y a descubrir formas de ingresar. Ese es el ciclo: primero los exploradores, después los ladrones, y, por ultimo, la policía". De acuerdo con Donn Parker, promotor de Gail Thackeray -ayudante de la fiscalía durante el operativo Sundevil- y experto en seguridad computacional, el primer abuso de una computadora se registró en 1958 mientras que recién en 1966 se llevó adelante el primer proceso por la alteración 81 de datos de un banco en Miniápolis. En la primera mitad de la década del 70, mientras los especialistas y criminólogos discutían si el delito informático era el resultado de una nueva tecnología o un tema especifico, las intrusiones computacionales se hicieron más frecuentes. Para acelerar las comunicaciones, enlazar compañías, centros de investigación y transferir datos, las redes debían -y deben- ser accesibles; por eso el Pentágono, la OTAN, las universidades, la NASA, los laboratorios industriales y militares se convirtieron en blanco de los hackers. Pero en 1976 dos hechos marcaron un punto de inflexión en el tratamiento policial de los casos: el FBI dictó un curso de entrenamiento para sus agentes acerca de delitos informáticos y el senador Abraham Ribicoff -junto con el Comité de Asuntos del Gobierno de la Cámara- presentó dos informes que dieron lugar a la Federal Systems Protection Act Bill (Ley Federal de Protección de Sistemas) de 1985, base para que Florida, Michigan, Colorado, Rhode Island y Arizona se constituyeran en los primeros estados con legislación especifica; anticipándose un año al dictado de la Computer Fraud y Abuse Act de 1986. El acta se refiere en su mayor parte a delitos de abuso o fraude contra casas financieras o involucradas en delitos interestatales. También especifica penas para el tráfico de claves con intención de cometer fraude y declara ilegal el uso de passwords ajenas o propias en forma inadecuada. Pero sólo es aplicable en casos en los que se verifiquen daños cuyo valor supere el mínimo de mil dólares. El aumento en la cantidad de casos de hacking y la sensación de inseguridad permanente que generaron –fomentada por la difusión de los hechos en programas especiales de televisión y artículos de revistas especializadas-, cambiaron la percepción de las autoridades con respecto a los hackers y sus intrusiones. Uno de los casos que demostró ese cambio, con escasa publicidad, fue el de Kevin Mitnick. La primera vez que lo detuvieron fue en 1981 por robar manuales de la Pacific Telephone y tuvo que cumplir seis meses de prisión; en 1983 intentó ingresar en las computadoras de la universidad de California del Sur y poco después penetró el sistema de la agencia de créditos TRW; en 1987 lo condenaron a treinta y seis meses de libertad condicional por robo de soft; hackeó los sistemas de la North American Air Defense (NORAD, Defensa aérea Norteamericana), el Departamento de Defensa y la NASA. La justicia libró una orden de captura en su contra, acusándolo de usar su magia tecnológica como arma y de violar los términos de su prueba federal. Lo arrestaron en 1988 y un año después lo condenaron a dos de prisión. Durante ese tiempo le negaron el acceso a los teléfonos y a lo largo de los doce meses de rehabilitación no pudo acercarse a una computadora. La dureza en el trato hacia Kevin Mitnick contrasta con aquella condena a Captain Zap de libertad vigilada por teléfono, y preocupó a la comunidad hacker, que consideró la avanzada legal como una forma más de caza de brujas. Pero el primer caso en que se puso a prueba el Acta de 1986 fue el de ShadowHawk (Herbert Zinn Jr.). Después de dos meses de control policial, pinchadura de teléfono y monitoreo de su computadora, se lo acusó de ingresar ilegalmente en Bell Laboratories, AT&T y las compañías telefónicas de Illinois y Rochester, con el agravante de copiar documentos considerados "sensibles". Durante el juicio, en 1989, valuaron esa información en un millón de dólares y, a pesar de que ShadowHawk no lo había vendido, se concluyó que había existido "intento de fraude" y fue condenado a nueve meses de prisión y una multa de diez mil dólares. Confiados en este antecedente, los investigadores de Sundevil llevaron al estrado el caso de Craig Neidorf. Cuando The Prophet le pasó a Knight Lighting un documento de la compañía telefónica, ambos fueron acusados de acuerdo con el artículo 18 de la sección 1029 del Acta, pero allí se especifican dos limitaciones: el 82 siempre, el que gestionó la orden judicial, y por tanto sabe qué tiene que buscar; el otro fotografía los aparatos y el resto de la casa para evitar reclamos posteriores. Estos policías, tan acostumbrados a obedecer reglas y órdenes, con el autoritarismo grabado como método de relación, se encuentran con serios problemas y contradicciones cuando ingresan en el mundo de la telemática: allí no hay reglas fijas ni leyes establecidas; mal que les pese, son tan pioneros como los hackers. En su libro Bruce Sterling cuenta una anécdota: uno de los agentes del FCIC le comentó que "en el mundo de la policía todo es blanco y negro, bueno y malo. En el mundo de las computadoras todo es gris." Tal es así, que aun cuando logran encarcelar a algún hacker, no están a salvo de sus intrusiones. Scott Robinson accedió a la terminal de la cárcel de Santa Clara mientras cumplía su condena y modificó la fecha de finalización de su prisión del 31 al 5 de diciembre. Arrestado nuevamente, dijo en su descargo que quería pasar Navidad con su familia. Emmanuel Goldstein asegura que desde 1983 no quebró la ley y que no es necesario hacerlo para ser un hacker. - En los Estados Unidos se vuelve cada vez mas difícil, porque todos los días aparecen mas leyes restrictivas. Por ejemplo, escuchar ciertas frecuencias es ilegal; son leyes estúpidas y deben ser violadas -asegura. - ¿Por qué? - Porque no tienen sentido, fueron escritas y votadas por gente que no entiende a la tecnología. Captar las frecuencias de teléfonos celulares es ilegal pero no hay forma de cumplir con esa ley ni de aplicarla, porque con solo prender la radio estás registrando una o varias frecuencias. La respuesta correcta es encriptar las comunicaciones para que no puedan ser escuchadas. Cuando fui al Congreso para alertar sobre la posibilidad de que se intercepten conversaciones, los legisladores, en lugar de escucharme me insistían: "Emmanuel, ¿por qué violás las leyes publicando códigos que son secretos?". Les contesté que todo lo que yo había publicado aparecía en los manuales y otros libros, que nada de eso era secreto, y al in se aburrieron: "Bueno, está bien". Obviamente no entendieron de que se trataba. - ¿Qué tipo de leyes hacen falta? - Leyes que reflejen lo que ya existe, que no agreguen penas por el solo hecho de usar una computadora, que es nada más que una herramienta. El estafador va a estafar con o sin computadora. De acuerdo con las especificaciones de las leyes norteamericanas, las figuras penales en las que puede encuadrarse el accionar de un hacker son: * Daño criminal o malicioso. Se refiere a la destrucción intencional de la propiedad de otra persona. Deben constatarse tres cosas: acción humana real, evidencia del daño y que este sea observado por un tercero. * Robo. A menos que haya una clara intención delictiva por parte del hacker, es muy difícil lograr una condena con esta acusación. El debate se centra en si las redes se consideran propiedad privada; muchos interpretan que usar una identificación o password ajena es lo mismo que abrir la puerta de una casa. ¿Es sinónimo de robo? Todavía no está resuelto (el debate de once días a través de WELL trató sobre este tema). 85 * Fraude. Se define así a cualquier tipo de engaño o comportamiento desleal con intención de dañar a otro. Aquí se encuadran la ingeniería social -si la información obtenida se usa para acceder a una computadora y se puede probar algún daño- y el uso de una clave ajena (Fry Guy fue acusado de fraude). * Hurto. Para calificarlo de esta manera, el hecho debe reunir dos condiciones: la sustracción de alguna propiedad y la intención de privar a su dueño de ella. En las actividades de los hackers se aplica a las modificaciones en los programas para, por ejemplo, generar una copia de la password y luego acceder a ella, o al tiempo de uso de una computadora, servicio telefónico o energía eléctrica. * Robo de secretos comerciales. Se puede incluir en hurto si los secretos se consideran propiedad privada y en ese caso, alcanzan tanto a la sustracción física como a la copia no autorizada. * Recibo de propiedad robada. El receptor debe saber, o sospechar razonablemente, que la propiedad es robada y aceptarla con la intención de privar al dueño legitimo de su tenencia. También puede incluirse en hurto, pero las especificaciones resultan casi ideales para acusar a cualquier hacker, ya que se puede aplicar a todo tipo de propiedad, sean secretos comerciales, información, mercaderías, servicios, tiempo de computadora, claves, archivos, tarjetas o información de créditos (fue uno de los cargos contra Craig Neidorf). * Robo de servicios o trabajo con falsos pretextos. Es una forma de hurto. Puede ocurrir cuando un hacker muestra una falsa credencial para acceder físicamente a una computadora en, por ejemplo, una universidad. * Interferencia con los estatutos de uso. Cuando una persona no puede usar su propiedad porque otro hizo algo que se lo impide, se interpreta que hay una interferencia. Cambios o anulaciones de claves para que alguien no pueda acceder a una red o computadora. Se aplica aun sin daño visible. * Conspiración. Se entiende cuando dos o más personas combinan o planean un acto fuera de la ley. Los usuarios de un BBS que discuta sobre el hacking pueden ser encuadrados en esa figura (fue una de las acusaciones contra los integrantes de la League of Doom). Gran Bretaña ------------ Mientras en los Estados Unidos se planificaba el operativo Sundevil, Mad Hacker -confiado por la resolución del juicio contra Steve Gold y Triludan- enloquecía a los responsables de sistemas de ochenta universidades, centros de investigación y escuelas técnicas de Gran Bretaña interconectados por medio del Joint Academic Network (JANET, Red Académica Conjunta). Su debilidad eran las ICL 3980, las mayores mainframes del momento, y sólo hackeaba ese tipo de máquinas, ignorando a los demás que cruzaba en su camino. Mad no era un hombre adinerado ni bien equipado: tenía nada mas que una Commodore Amiga 1000 conectada a un modem, pero contaba con ingenio suficiente como para usarla de base de lanzamiento en sus viajes. El puente para llegar hasta JANET fue un colegio cercano a su casa, el Queen Mary College (QMC) en el que ingresó a través de una cuenta default que, después de unas horas, le permitió obtener privilegios de manager 86 system. Allí generó cuatro usuarios a nombre de Alan Dolby para saltar con ellos a la red y llegar hasta las ICL de las universidades de Glasgow, Nottingham, Belfast y Bath, entre otras. "El objetivo es tratar de conseguir la categoría máxima dentro del sistema -decía Mad Hacker-, la de director; una vez que la obtenés, no seguís las reglas sino que las dictás, es un juego con el sysman." Bob Jones era el jefe de programadores del QMC y tenía por entonces treinta y ocho años, su etapa de jugar había pasado. Cuando descubrió cuatro archivos AD no tardó en averiguar que eran los usuarios que Mad había creado para acceder a JANET; informó a Jeremy Brandy -director de informática del colegio- y entre ambos optaron por controlar las expediciones del hacker sin cerrarle el ingreso, aunque le quitaron la categoría de manager. También decidieron grabar las intrusiones y borrar tres de las cuentas. El jefe de seguridad del QMC, por su parte, informó a la Computer Crime Unit (CCU, Unidad de Delitos en Computadoras) de Scotland Yard. Esa dependencia se había creado en 1971 pero en ese momento contaba con solo cuatro agentes, entre ellos John Austen, a quien se designó para seguir el caso. Austen involucró a la British Telecom, porque la mejor manera de pescar al intruso era controlando las líneas telefónicas. Mad Hacker se dio cuenta de que lo habían descubierto pero, lejos de amedrentarse, ganó confianza en sí mismo. Su atrevimiento fue en aumento. "Creo que deberían saber que estoy loco, y también deprimido" fue la frase que se repetía por centenares en los papeles de la impresora conectada a la computadora del QMC cuando Bob Jones ingresó en la oficina una mañana. "Acepto el reto. Esto les llenará su asqueroso sistema", leyó el responsable del área en la Universidad de Hull al revisar su correo electrónico: Mad había cargado en la máquina un rabbit (conejo), programa que provoca procesos inútiles y se reproduce -como los conejos- hasta que agota la capacidad de la máquina. Quiso hacer lo mismo en el server de la Universidad de Glasgow, pero el operador de turno anuló su intento. Noches después Roger MacKenzie -el director del sistema de Glasgow- trató de ingresar desde su casa y tecleó la contraseña. "Lockout" le respondió la pantalla: Mad Hacker había anulado su cuenta. El coreo electrónico de Bob Jones, mientras tanto, se llenaba con mensajes: "Que E.T. llame a casa", "Que Norman Bates se presente en las duchas", "¿Por qué no me sacan?", eran los mas comunes. Pero Jones no quería anular la entrada, quería pescarlo. El mismo objetivo tenía Austen; algunos de los mensajes de Mad daban a entender que había penetrado en las computadoras del Ministerio de Defensa y el MI5, uno de los servicios de inteligencia británicos, y los de Scotland Yard no estaban dispuestos a permitir que continuara. El 6 de julio de 1988 a las ocho de la noche, el padre de Nick Whiteley estaba sentado en su sillón favorito mirando televisión mientras su esposa cocinaba y su hijo permanecía -como casi siempre a esa hora- en su habitación. Los golpes en la puerta sobresaltaron a todos. ¿Por qué tan insistentes? ¿Por qué no tocaban el timbre? - Buenas noches. ¿El señor Whitelet? -lanzó, sin más preámbulos, un hombre vestido con elegante traje. - Así es. ¿Puedo saber quién pregunta? -contestó el padre de Nick en shorts y zapatillas. - Agente de Scotland Yard. Tengo una orden judicial para arrestar a Nicholas Whiteley. Cuando Nick leyó el papel largó la carcajada. 87 transferidos a Amsterdam, donde permanecieron incomunicados hasta el 5 de febrero y no se les permitió ni siquiera recibir ropa de sus familiares. Se los acusó de entrar en la computadora bronto.geo.vu.nl, perteneciente a la misma Universidad Libre de Amsterdam. Falsificación de documentos, destrucción y estafa eran los cargos en su contra, de acuerdo con las leyes vigentes en ese momento, y sobre la base de que habían modificado documentos en el sistema dejándolo inutilizable (falsificación y destrucción), usando las cuentas del administrador o de usuarios legítimos (estafa). El caso no pasó a mayores, pero fue una clara advertencia a los hackers. La parte acusadora dejó pasar el límite de tiempo para presentar su denuncia y los detenidos recuperaron la libertad y sus pertenencias. Hubo quienes pensaron que el origen de la actitud policial debía ser buscado en las presiones del gobierno norteamericano hacia el holandés como consecuencia de una infiltración en los sistemas militares de los Estados Unidos. A mediados de 1991, algunos hackers holandeses leyeron, en esos sistemas, documentos teóricamente secretos, grabaron un video y lo mostraron por televisión. Pero el gobierno de Holanda no parece estar deseoso de crear su propia operación Sundevil: hasta ahora las cosas no pasan de escarmientos o advertencias. Patrice Riemens considera que "muchas veces no es claro donde están los crímenes, ya que los involucrados -sobre todo en casos de guante blanco- no los hacen públicos para no demostrar cuan inseguros son sus sistemas. En cambio, ante un hecho de hacking se monta una gran publicidad sensacionalista con la intención de desacreditarlo porque lo que hace, justamente, es demostrar la inseguridad de esos mismos sistemas". Chile ----- Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos, publicada en el Diario Oficial (equivalente del Boletín Oficial) el 7 de junio de 1993. Según ella, la destrucción o inutilización de un sistema de tratamiento de información puede ser castigado con prisión de un año y medio a cinco; como no estipula la condición de acceder a ese sistema, puede encuadrarse a los autores de virus. Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los tres y los cinco años. El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en este, también es pasible de condenas de hasta cinco años de cárcel (por ejemplo, utilizar una base de datos con función estadística para realizar publicidad de un producto); pero ingresar en ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta tres años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a cinco. Esta ley es muy similar a la inglesa aunque agrega la protección a la información privada. Francia ------- Es posible que Francia sea uno de los pocos países cuyos gobiernos sacaron provecho de la actividad de los hackers. En 1981, a poco de asumir el gobierno de Francois Miterrand, muchos franceses temerosos del socialismo sacaron del país sus 90 capitales para radicarlos en Suiza. Un técnico descubrió cómo ingresar en las computadoras de ese país y armó un listado de más de cinco mil franceses con sus nombres reales, domicilios y todas las operaciones realizadas desde el primer día de apertura de cada cuenta. Se cree que el gobierno francés compró la información -que no pudo ser desmentida por los suizos- y tanto los infractores como los bancos sufrieron las consecuencias: devolución de capitales y multas para evitar la prisión. Pero en 1986 se detectaron mil cuatrocientos casos de anormalidades informáticas que significaron estafas por seiscientos millones de dólares y dos años después, en enero de 1988, Francia dictó su propia Ley contra Delitos Informáticos, que prevé penas de dos meses a dos años de prisión y multas de diez mil a cien mil francos (mil quinientos a quince mil dólares) por "intromisión fraudulenta que suprima o modifique datos". Argentina --------- En el país no hay legislación especifica sobre los llamados delitos informáticos; solo están protegidos los lenguajes de bases de datos y planillas de cálculo, contemplados en la ley 11.723 de Propiedad Intelectual, modificada por el decreto 165/94, publicado en el Boletín Oficial el 8 de febrero de 1994. Si bien las modificación se realizó justamente para incluir esos ítem en el concepto de propiedad intelectual, no tiene en cuenta la posibilidad de plagio. En uno de los primeros casos que se presentaron en este sentido, el juez a cargo dictaminó que no hay jurisprudencia que permita establecer qué porcentaje de igualdad en la escritura de dos programas se considera plagio. Las copias ilegales de software también son penalizadas, pero por reglamentaciones comerciales. A diferencia de otros países, en la Argentina la información no es un bien o propiedad, por lo tanto no es posible que sea robada, modificada o destruida. De acuerdo con los códigos vigentes, para que exista robo o hurto debe afectarse una cosa y las leyes definen cosa como algo que ocupa un lugar en el espacio; los datos, se sabe, son intangibles. Si alguien destruye, mediante los métodos que sean, la información almacenada en una computadora no cometió delito; pero si rompió el hardware o un diskette será penalizado: en ese caso, deberá hacerse cargo de los costos de cada elemento pero no de lo que contenían. Las bases de datos pueden venderse sin importar cuál es la información que contienen ni para qué la va a usar el comprador. En el ámbito policial es conocido el caso de un estafador que compró una base de datos y envió una carta a cada persona informándole que había ganado un viaje por sorteo; cuando los interesados concurrían a recibir el premio les cobraba cien dólares por gastos administrativos y el viaje nunca se hacía. En cuanto a la actividad típica de los hackers, las leyes castigan el hurto de energía eléctrica y de líneas telefónicas, aunque no es fácil determinar la comisión del delito. Por ejemplo, en el caso de blue boxing -cuando se usa un número gratuito de otro país para acceder a llamadas internacionales- la dificultad radica en establecer dónde se cometió el delito y quién es el damnificado. La situación varía cuando se realiza dentro del país, algo que ahora podría hacerse en la Argentina con los números 0-800 de muy reciente instalación. Por otro lado, casi no hay antecedentes de hacking interno ya que la mayoría de los organismos oficiales no tienen conexión con el exterior y tampoco están enlazados entre si. Los pocos que están interconectados tienen un uso muy escaso, porque el espíritu que reina es el de no pasar información propia a los demás. 91 El comisario Juan Carlos Tirante, a cargo de la División Computación de la Policía Federal, aclara que los posibles hechos de hacking se encuadran –y afirma que en realidad son- en la categoría de delitos comunes como defraudaciones, estafas o abuso de confianza; la existencia de una computadora no modifica el castigo impuesto por la ley. El organismo nació en 1946 y tuvo su primera computadora veinte años más tarde, pero el primer caso en el que intervino fue en el de Yuyo Barragán, en 1983. "Los hackers argentinos, por ahora -dice Tirante-, no tienen la capacidad y la tecnología que tenían sus colegas del Chaos." Para el comisario, el concepto "delito informático" califica la trasgresión por su herramienta y no por su contenido, algo poco común. El subcomisario Rubén Barreiro aclara, en un articulo de la revista Mundo Policial, que la forma de denominación correcta es "delitos en informática", ya que permite el encuadre tradicional de actos ilegales cometidos con el auxilio de una computadora. Esto podría abarcar desde delitos contra la propiedad (la mayoría) hasta delitos contra el honor (por ejemplo, incluir antecedentes falsos en archivos oficiales que perjudiquen a la persona en cuestión). También detalla los inconvenientes con que tropiezan los investigadores en los casos donde está involucrada la informática. "Falta de legislación acorde, tanto penal como de procedimientos" y "falta de capacitación de quienes investigan" son los dos primeros puntos destacados por Barreiro. A ellos les suma "falta de cooperación de quienes deberían denunciarlos" y "ausencia de tecnología en la policía para el seguimiento de los casos". Juan Carlos Tirante explica que "la División no realiza acciones o investigaciones preventivas -al modo de las organizaciones estadounidenses-: actúa en un aspecto pericial cuando el operativo ya está en marcha". La razón mas importante para que suceda de ese modo, según Tirante, es que "la mayoría de los delitos se cometen de la puerta de una empresa hacia adentro. Para prevenir tendríamos que estar allí y eso es como meterse en una casa para controlar que las cosas funcionen bien -imagina el oficial-; a nadie le gusta demasiado". Y nadie está tan libre de culpas como para tirar la primera piedra. La Policía Federal adhiere, según el artículo de Barreiro, a un informe del Departamento de Justicia de los Estados Unidos en el cual se considera a una computadora como objeto (daño o robo de la máquina y/o programas), sujeto (ámbito donde se desarrolla el delito), instrumento (en general, ilícitos financieros como transferencia de valores o información falsa) o símbolo (presenta un registro falso para engañar, intimidar o conseguir alguna cesión de la víctima). El organismo acuerda, además, con la definición que hiciera un grupo de expertos en París en 1983 consultados por la organización para el Desarrollo y Cooperación Económica. "Toda conducta ilegal no ética o desautorizada -dijeron los especialistas-, que implique procedimiento automático de datos y/o transmisión de datos", se encuadra en el concepto de delito informático. Casi la totalidad de los casos en que intervino la división computación de la policía fueron protagonizados por empleados de las empresas afectadas -que descubrieron las fallas de seguridad en los sistemas- o por tradicionales estafadores, y no por hackers, en el sentido histórico del término. Casi todas las víctimas de delitos cometidos con computadoras, además, tratan de mantenerlos en secreto ante la pérdida de credibilidad que originaría la publicación. Juan Carlos Tirante lo menciona en su ponencia ante el VI Simposio Internacional de Criminalística que se desarrolló en septiembre de 1994 en Bogotá (Colombia) y da ejemplos claros. A mediados de los años 80 los cajeros automáticos de un banco fueron vaciados durante un fin de semana largo. Un operador de la empresa sabía que en esos días los cajeros funcionaban off line (no estaban conectados a la casa matriz) y por lo 92 We work in the dark Trabajamos a oscuras, We do what we can hacemos lo que podemos, We give what we have. damos lo que tenemos. Our doubt is our passion La duda es nuestra pasión and our passion is our y la pasión es nuestro task. trabajo. The rest is the madness El resto es la locura of art. del arte. HENRY JAMES, CITADO EN EL FAQ DE ALT.2600 Los hackers usan una gran diversidad de métodos para lograr sus objetivos, ninguno de los cuales es -como popularmente se cree- su genialidad innata ni la magia. Si se quiere entender el hacking, el primer paso es familiarizarse con las telecomunicaciones, los sistemas en general y algunos específicos. Los sistemas operativos controlan de manera absoluta el funcionamiento de las computadoras, y en su mayoría brindan ayuda extra en la pantalla, la gauchita función "Help". Pero hay algo más importante en este primer paso: saber sobre los sistemas aquello que no se consigna en los manuales. Las revistas constituyen una excelente fuente de información. La renombrada 2600, que edita el prócer norteamericano Emmanuel Goldstein, es una de las que brindan mayor utilidad; inclusive sus lectores que no son hackers la recomiendan. Otras ya desaparecidas, como TAP, se pueden conseguir buscando en los clasificados de 2600. Los libros acercan también datos de gran importancia. Bibliografía sobre hacking o, directamente, sobre seguridad; manuales de sistemas operativos y redes; especificaciones de protocolos; es indispensable toda aquella información que permita conocer las debilidades de un sistema y los comandos a los que responde, sus formatos de códigos, los modos de entrada y salida y cualquier detalle sobre hard y software. Los newsgroups (foros de mensajes públicos) de Internet, como comp.virus, alt.2600, alt.hackers, alt.security o comp.dcom.telecom –por nombrar algunos- son lugares para preguntar todo tipo de cosas y hallar la respuesta de expertos. Antes de dejar un mensaje en los newsgroups es conveniente leer las Frequently Asked Questions (FAQs, preguntas frecuentes) de cada uno. De cualquier modo, el arma principal del hacker es la inteligencia, pero no únicamente la suya. Para el llanero solitario de las redes, la falta de inteligencia, conocimiento o curiosidad del otro lado es de suma utilidad. Es muy común que después de un robo espectacular se escuche la frase "Lo ayudaron de adentro". En el caso del hacker generalmente es cierto, pero no por la consciente colaboración de "el de adentro". Una password mal elegida, un sistema mal configurado, cualquier información que no siga el flujo correcto y se desvíe hacia malas manos... todo puede ser aprovechado. Si el sistema fuese perfecto no podría ser hackeado. Pero no hay sistema perfecto, siempre hay una puerta mal cerrada. El problema con el que se topan los diseñadores es que los sistemas deben ser de uso sencillo, y eso facilita el ingreso de un hacker. Si se presentan trabas no solo los curiosos tendrán inconvenientes: los usuarios legítimos también. Si el sistema permite que el administrador acceda a los archivos secretos, el hacker que consiga los atributos de aquel va a poder usarlos. 95 Bichos ------ Cuenta la leyenda que la primera computadora digital, la ENIAC, empezó un día a funcionar mal sin motivo aparente; al revisar los circuitos, se descubrió que el problema era una polilla que se había metido en el interior del ordenador atraída por el calor de las válvulas. De allí que el término bug (bicho, insecto, en inglés) haya quedado, en la jerga informática, como nombre de cualquier error de programación. Actualmente los insectos no son un problema para los circuitos integrados y los chips, pero los errores de programación siguen existiendo y se considera que un programa sin bugs es obsoleto, ya que cuando se detectaron y corrigieron todos los errores pasó demasiado tiempo desde su creación. Por lo general, un programador sabe que su producto tiene errores, pero el costo de corregirlos y enviar la nueva versión a todos los usuarios no justifica que se solucionen inmediatamente. Por eso se esperan meses, y años, hasta que las modificaciones necesarias suman una cantidad tal que imponen la necesidad de una versión actualizada. Mientras tanto, si el hacker conoce estos bugs puede aprovecharlos. Es lo que sucedió en 1991, cuando los holandeses penetraron en el sistema del ejército de los Estados Unidos a través de Internet. La revista 2600 lo explico así: "Un usuario ingresa en una máquina de Internet. Usando FTP (un programa que permite copiar archivos de ida y vuelta entre dos computadoras, generalmente a través de la red) se conecta a otra, la cual pide un nombre de usuario. Tipeando “anonymous”, se obtiene un acceso limitado. El propósito es dejar disponibles archivos públicos sin tener que abrir cuentas para todos los que necesitan ingresar. Pero esta versión de FTP tiene por lo menos un gran bug en su software. Utilizando ciertos comandos (quote user ftp, quote cwd ~root, quote pass ftp) el usuario no sólo es capaz de acceder a la máquina remota sino que puede cambiar su dirección en el sistema al directorio raíz (root), la cuenta más poderosa, que permite a quien la usa mirar todo. Además, los hackers pueden cambiar cualquier cosa, aunque con gran dificultad, porque no están realmente dentro del sistema, todavía están confinados a trabajar dentro del programa FTP". Un hacker habilidoso que utilice este método podrá cambiar lo que desee dentro de la máquina, incluso el archivo de passwords o agregar un usuario con los privilegios de acceso que prefiera. Por supuesto, cada vez son menos las máquinas que tienen ese bug, especialmente después de que fue publicado. Pero como dice el proverbio zen-hacker: "Es solo uno de los bugs posibles en solo una de las máquinas posibles". Otro bug típico hasta hace algunos años, que todavía se puede ver en un puñado de lugares, es el que permite entrar en la cuenta de otro después de que la persona corta. Es posible que esto suceda cuando coinciden una mala configuración del modem y bugs en el programa. En algunas circunstancias -por ejemplo, si al usuario se le corta la llamada antes de que se desconecte- el modem puede atender otro llamado y abrir la comunicación en el punto donde quedó la anterior, adjudicando al nuevo los mismos derechos. Es especialmente peligroso si el que quedó enganchado es un supervisor: equivale a que el usuario se levante de la silla frente a su terminal y un hacker se siente en ella. Hay que caer en el momento adecuado y, como los sistemas no muestran la password, el hacker no podrá volver a ingresar en la cuenta a menos que el error se repita. Con este método, entre otros, PUA accedió a Delphi. Algunos bugs dependen de cuánto conoce el administrador las posibilidades que el sistema ofrece. El sistema operativo UNIX permite asignar a un programa, temporalmente, privilegios mas altos que los del usuario. Un uso adecuado permite a un operador -por ejemplo- ingresar clientes en una base de datos, que normalmente no puede ser modificada; 96 pero a través del programa correcto el sysop podrá agregar clientes nuevos en un banco, aunque no le será posible cambiar el saldo de ninguna cuenta. Cuando el operador sale del programa ya no puede tocar la base de datos. Si el hacker logra acceder a ese programa, tiene que simular la salida de éste para modificar la base de datos, pero sin salir realmente, porque cuando lo hace pierde sus privilegios. Es aquí cuando un bug en el programa es crítico: si en algún momento permite ejecutar otro programa que de la posibilidad de salir temporalmente al shell (intérprete de comandos) del UNIX, el sistema continúa dándole acceso superior. Un caso común es que en algún momento haya que editar un archivo de texto con el editor Vi, que permite acceder al shell fácilmente. Una vez en el shell se puede modificar la base de datos a gusto, o, si el programa tiene suficiente acceso, crear una cuenta nueva con privilegios de supervisor. Este no es un error de programación del sistema: es un error de configuración frecuentemente cometido por los supervisores o system programmers. Puerta de emergencia -------------------- Una backdoor (puerta trasera) permite entrar en un sistema sin usar los métodos normales. El programador puede establecerla para accesos de emergencia o para no perder el control sobre su sistema en caso de que lo maneje otra persona. Una backdoor requiere la modificación del programa, por eso en la mayor parte de los casos es obra del diseñador. De todas formas, en un sistema conocido, un hacker puede crear un patch (parche), un programa que modifique partes del sistema para abrir una backdoor donde antes no existía. Un ejemplo clásico de esta práctica es lo que hizo uno de los diseñadores del UNIX original, Ken Thompson. En una versión primitiva del sistema operativo agregó una rutina al compilador de C para que cada vez que tomara el comando "login" (el que valida a los usuarios y les da acceso al sistema), lo modificara y permitiera ingresar a cualquiera que usara una password elegida por Thompson. Si alguien veía el código y descubría la backdoor podía sacarlo, modificando el compilador. Al advertirlo, Thompson hizo que el compilador detectara si estaba haciendo una copia de sí mismo y, en ese caso, volviera a cambiar las rutinas para que la backdoor siguiera en su lugar. Por supuesto esta puerta ya no existe en las versiones actuales de UNIX. El segundo caso, el del patch, fue usado por el Chaos Computer Club para entrar en la NASA. Introdujeron un programa en la red europea SPAN que se copiaba en todas las máquinas a las que tenía acceso. Una vez en la computadora deseada, utilizaba un bug del sistema para obtener privilegios especiales y emparchaba algunos programas para crear un usuario especial que no aparecía en los listados y era invisible para el administrador. De esta forma entraban en el sistema cuando querían. Troyanos -------- Los griegos, para entrar a la ciudad fortificada de Troya, enviaron de regalo un caballo gigante de madera, con soldados ocultos en su interior. Cuando el caballo traspasó las murallas de la ciudad, los soldados salieron y la tomaron por la fuerza. En el mundo de la computación, un troyano es un programa que parece una utilidad pero no lo es; el usuario lo ejecuta confiado, porque cree en las 97