A la persona que me hackeó… muchas gracias!!

No voy a entrar en demasiados detalles técnicos sobre lo que es un hacker, aunque (como ocurre comunmente) la percepción social actual sea bastante equivocada. Tal vez haga un post a futuro para explicarle bien a la gente los conceptos erróneos que se tienen de hackers, spam, etc. Hoy no será ese día. Hoy voy a ser breve.

La persona que entró a dos de mis sitios (el primero hace cerca de un año, el segundo hace unas semanas), pese a haber podido realizar alguna “maldad”, se limitó a dejar una pequeña línea en la parte superior de las páginas de ambos sitios (los dos corriendo en OsCommerce, plataforma de código libre). En esa línea, explicaba que el sitio era vulnerable, que podía colocarse cualquier tipo de código maligno… y daba también la solución para que deje de ser inseguro.

De más está decir que la solución era la correcta y los sitios pasaron de ser explotables a seguros gracias a la intervención de ese hacker. Aunque los logs de entradas ya no estaban (no porque hayan sido borrados, sino porque ambos sitios están configurados de esa forma), reconocí que la persona era la misma por usar idéntica técnica con las mismas líneas de explicación.

Por eso, mis más sinceros agradecimientos a ese hacker de la buena rama, que pese a poder haber hecho desmadres a mi costa (en dinero, recursos, tiempo y problemas posteriores) se limitó no sólo a señalar el error, sino también la forma de arreglarlo y enseñar un poco más de seguridad informática. Espero que le sirva también a la gente para tener un mejor concepto sobre algunos de ellos y que sea también un ejemplo para los millones de lamers wanabees (1) (2) que pululan en la red.

Muchas gracias!!

Anuncios

Acerca de PiensoLuegoPiensoLuegoExisto (PLPLE)

Tratando de entender el mundo sin morir en el intento...
Esta entrada fue publicada en Información técnica, Mis experiencias, Seguridad, Tecnología y etiquetada , . Guarda el enlace permanente.

29 respuestas a A la persona que me hackeó… muchas gracias!!

  1. Coki dijo:

    Podría decirse que te topaste con el Llanero Solitario de los hackers.
    Algo que siempre me gustó de los superhéroes era su anonimato. Me parece que hay pocas cosas más nobles que ayudar a otros sin buscar un rédito personal.
    Me parece, de hecho, demasiado noble. Innecesesariamente noble. Un derroche de nobleza. Como echándonos en la cara que son mejores que nosotros.
    Ahora que lo pienso, me caen mal.

    • @Coki: Jaja, es cierto. Si filosofamos hasta el final, somos todos malos. De hecho… 😆

      @elpensar: No te preocupes que yo también pensé e hice lo mismo. Pero como básicamente era proteger un archivo específico (quitar permisos de escritura para el exterior), no busqué demasiado para darme cuenta que el tipo decía la posta (en ese entonces, no sabía demasiado sobre los permisos y sus tres grupos).
      Realmente fue una buena acción, sin vueltas.

      @Javier: No te preocupes que es humor irónico lo que está usando. Es poco común verlo hoy en día y a veces no se entiende si no se ponen caritas al final o cosas similares. Por eso a veces suele confundir a los comentaristas o lectores. Pero tanto Coki como elpensar o Marcial son algunos de los que usan ironías de vez en cuando, no te hagas drama.

      @Coki/elpensar: Ya aclarado. Es que para lectores que por ahí no nos conocen bien, puede haber sonado como un comentario malicioso. De hecho, creo que la mayoría (léase “lo común” o “la mitad más uno” 😉 ) lo tomará de esa forma.

      Saludos!

  2. elpensar dijo:

    @ Coki:
    Hum… No se que decir…
    O sea… No conozco al hacker. Me da lo mismo… 😛

    @Pienso:
    El mencionar el exploit y apuntar a su solución fue, de hecho una acción muy buena. Aunque yo, desconfiado como siempre, averiguaría más porque ahora mismo pienso que podría haber sido una especie de “decoy effect” (Un señuelo) para arreglar que el código de hacker funcione y vos lo arregles de tal manera que otros no puedan detectarlo…

    Como no se más, no digo nada!

    Saludos!

  3. coki:
    Muy retorcido lo tuyo. ¿Por qué no reconocés que esta persona, en este tema, es mejor que vos?
    ¿innecesariamente noble?
    Me parece que Kristina y sus desastres te está trastornando un poco. Antes no escribías de esa manera.
    Te lo digo con toda la buena onda que le puedo poner para que no parezca una trolleada.
    Saludos

  4. Coki dijo:

    @Javier Salinas, hay algo que se llama “chiste”. Creo que siempre los hice. Quizás a veces se entienden y otras no. Pero están ahí.

  5. elpensar dijo:

    @Coki: Yo siempre supe que por ahí venía la cosa. 🙄

  6. Coki:
    Las disculpas del caso entonces.
    Ultimamente, como mi costumbre es poner un 😉 o un 😛 cuando pongo un chiste, al no verlos ya mi interpretación viaja hacia lo serio.

  7. Coki dijo:

    @PLPLE, eso me lleva a otra pregunta. Más allá del caso puntual, en el que pude haberme expresado mal o Javier malentenderme o lo que sea, ¿hay que escribir / hablar para la mayoría? ¿está bien dar tantas explicaciones?

    Me encanta cuando estoy en una reunión, hago un chiste irónico y sutil y sólo se ríe alguna gente que sé que lo pueden entender, mientras que otros me miran como si fuera un idiota.
    A veces explico que era un chiste. Hasta a veces intento explicar el chiste mismo. Pero siempre que hago eso me arrepiento luego.

    • @Coki: Esperá, que estás mezclando cosas. Una es transmitir ideas que pueden entender muy pocos; otra muy distinta es transmitir esa idea (sea poco común o no) de una manera técnica no convencional.

      La primera está bien y va en cada uno; en la segunda, hay que hacer un promedio. Lo primero equivaldría a los que hacemos nosotros (porque como no escribimos sobre el nuevo iPhone o como ganar plata “gratis y fácil”, sino que intentamos hacer reflexionar, estamos apuntando a una minoría). La segunda, sin promedio, es un HOYGAN (en donde se escribe tal cual nos suena a nosotros, sin pasar por los tecnicismos del lenguaje o de la mínima lógica que requiere el intercambio linguîstico o de ideas).

      Hay algunos convencionalismos que se aceptan por la mayoría, que pueden respetarse o no (eso también va en cada uno) sin importar lo que se intente. Cuanto más “convencionales” seamos, más gente entenderá y se darán menos equívocos con cosas mal entendidas, haciendo llegar el mensaje a más destinatarios (y viceversa). Que se sea muy o poco convencional, es parte del sello de cada uno; pero no tiene nada que ver con lo que se intenta transmitir.

      @elpensar: Exacto. Es que ese tipo de explicaciones o detalles varía en cada uno y es parte de como somos internamente y de que proyección damos externamente.

      Concuerdo también con el último párrafo: si el chiste era para pocos, estuvo bien transmitido y punto. No se tendría que explicar más porque llegó a los que tenía que llegar. Si era para todos, o no se hacía o se hacía con mayores convencionalismos para tratar de contentar a todos. Son cosas conformadas que cada uno tiene adentro para manejarse consigo mismo y con los demás.

      Saludos!

  8. elpensar dijo:

    @Coki: Eso es seria discriminación. Todas las personas presentes en las reuniones tienen derecho a entender tus chistes y con eso que hacés les estás limitando el ejercicio. Sos un golpista! (?)

    ==============

    Uhm… Ejem… En ese caso yo también suelo ser golpista. 😀
    Aunque si una persona pregunta algo en particular por supuesto que la respondo “a su nivel” y con lujo de detalles. Hago lo mismo si una persona pregunta en nombre de otros. Si los otros no entienden, que esos pregunten también.

    En el caso que mencionás no veo por qué tengas que explicar. Si el chiste fue para algunos, fue para algunos. Si hubieras tenido la intención de que sea para todos no lo hubieras hecho. No?

  9. Coki dijo:

    Coincido con ambos. No puedo decir mucho más, tengo miedo de que no me entiendan.

    • @Coki: 😆

      @elpensar: Sí, eso pasa pero es falta de interés, no tiene nada que ver con ser tonto o no. No todos podemos o debemos interesarnos por todo.

      Otra cosa es el tema de la falta de conocimiento en cierto aspecto. Si creo que no tengo el suficiente conocimiento en cierto posteo, directamente no comento (aunque lo lea y lo entienda).

      Saludos!

  10. elpensar dijo:

    Huh… No entendí…

    Jeje… Ahora que lo pienso, Coki… Lo único que no te entiendo es cuando hablás de conceptos que no tienen interés para mí. Y desentiendo porque no me tomo la molestia de informarme al respecto.
    En ese caso el que no entienda no es problema tuyo, sino mío por tonto.

    Así que no tengas miedo de los problemas ajenos!

    (?) No se de dónde me salió este comentario…

  11. elpensar dijo:

    @PLPLE: Otra vez! Me arruinaste el chiste a Coki 😛
    Jejeje, bueno… Da igual.

    Saludos!

  12. Pingback: Para ser un buen policía, hay que probar cómo ser un excelente ladrón « ▀▄ PiensoLuegoPiensoLuegoExisto ▄▀

  13. LeonardoN dijo:

    Che, ¿no entraron los HOYGAN a preguntar cómo “hackear” un jotmeil? ¿o borraste esos comentarios? Creo que es muy fácil que un HOYGAN dé con este post en una búsqueda y entre —sin leer, por supuesto— a preguntar cómo robar contraseñas para sentirse “un gran hacker” que puede darse el lujo de amenazar a quienes aún no han leído lo que él ya leyó.

    • @LeonardoN: Claro que sí, esos son infaltables! Aunque como no puse a Hotmail en ningún lado, entran con otras cadenas (“hackear oscommerce”, “hack borrar sitio”, etc). Creo que hay un par de búsquedas viejas con cadenas parecidas.

      Esos tipos de ‘hackers wanabees HOYGAN‘ están pendientes de estudio por mí en el futuro. Creo que esos sí que no se salvan :-).

      Corregido tu primer comentario (borro el segundo). Pero que perfeccionista che! Si yo hiciera lo mismo tendría que duplicar todos mis comentarios! 😉

      Saludos y suerte

  14. LeonardoN dijo:

    Ahora que pusiste “Hotmail” en este post, va a empezar a haber cantidades de HOYGAN preguntándote eso xD. Espero tu estudio sobre los “hackers”.

    Corregido tu primer comentario (borro el segundo). Pero que perfeccionista che! Si yo hiciera lo mismo tendría que duplicar todos mis comentarios! 😉 ”

    No es “perfeccionista”: es “pelotudo”. Leí mi comentario antes de publicarlo, pero no detecté un error tan boludo. Sobre lo que hiciste con mis comentarios, era justo lo que quería. No te lo pedí en otro comentario para no ser hinchapelotas.

    😉

    • @LeonardoN: Jaja, estaba pensando en eso antes de dar el ‘enviar respuesta’. Creo que estoy a salvo porque el comentario está bastante lejos del posteo y o creo que Google lo ligue como primordial, pero nunca se sabe. Ya me voy a dar cuenta si me empiezan a llegar avalanchas de búsquedas y muchos comentarios exigentes 🙂

      Ya tengo tantos pendientes de estudio que creo que ni juntando 10 vidas podría con todo. Pero de todas formas me niego a quitarlos de lista de espera!

      Lo del comentario es muy común. Te sorprendería las veces que hasta los diarios los cometen (y son todos profesionales que ganan dinero con ello), ¿qué podemos esperar nosotros?
      No suelo modificar comentarios si no es a pedido, pero me pareció que entre líneas me pedías eso. No es problema, cualquier cosa avisame, no me cae hinchapelotas 🙂

      Lo del theme del blog, sí, es ancho fluído. Después de estudiar mucho el tema, me decidí por ese estilo porque sienta bien en todas las resoluciones y navegadores. Ya había hecho un blog con ancho fijo y me horroricé cuando lo ví en un cyber a más de 1600px: se veía una franjita chica en el medio y te tenías que acercar para percibir bien todo (claro, en mi 800×600 se ve bárbaro…).
      El theme es gratuito, no pago por CSS ni nada similar. Yo empecé con otro tema, pero lo cambié hace más de un año porque me gusta más la compatibilidad. Terminé muy pegado con los fluid width. Lástima que los estén dejando muy de lado, casi todo es ancho fijo (porque sienta mejor para el diseño, publicidades y demás). Como yo ofrezco contenido, esas cosas me parecen irrelevantes para este blog. Prefiero que se lea bien, aunque por ahí no se vea tan bien.

      Gracias! Me alegro que te guste el diseño. A mí no me termina de convencer, pero nunca apunté mucho a lo estético (en nada).

      Saludos y suerte!
      PLPLE

  15. LeonardoN dijo:

    Che, fuera de tema, qué bueno el diseño de tu blog, ¿es de ancho fluido, verdad? Lo veo enorme, la mayoría de las páginas que visito se ven chicas en la resolución que uso y es por eso que a veces tengo que crear archivos CSS para modificarlas un poco desde el navegador.

    No sabía que en WP.com estaba esta plantilla, hasta en un momento había pensado que vos habías pagado el “Upgrade CSS” y habías metido la mano en las hojas de estilo, por eso el porqué de tan buen diseño. Excelente elección.

  16. LeonardoN dijo:

    Me había olvidado de pasar para responder. ¿800 x 600? Debés tener una máquina un poco vieja 😆 .

    En WP.com veo que casi todos son de ancho fijo, no sé por qué, si no tienen publicidad.

    Me gusta este theme, lo único que le haría sería sacarle esa imagen fea color gris que tiene en el fondo y darle un poco más de ancho a la sidebar.

    • @LeonardoN: Sí, es bastante vieja. Todavía ando en W98…

      Nunca supe bien el por qué de tanto ancho fijo; más teniendo en cuenta lo que nombrás, la falta de publicidad. Supongo que será algo comunmente aceptado entre los diseñadores, porque en ninguna plataforma abundan los flexibles.

      Yo le cambiaría muchas cosas a éste, pero lamentablemente no se puede. Es el mejor que encontré en fluid, los otros tenían más fallas (el anterior me gustaba más en cuanto a estética, pero tenía las letras muy chicas dentro de las entradas y no separaban ni tomaban mayúsculas en los menúes).

      Saludos

  17. Rodolfo Bardin dijo:

    Yo no tuve tanta suerte como vos. Directamente se hackearon mi sitio basado el osCommerce y metieron código para robar tarjetas de créditos en perjuicio del Banco Morgan de EEUU.

    Podrías copiar lo que te dijo ese hacker para proteger tu sitio.
    Muchas gracias

    • @Rodolfo Bardin: Lamento que te haya tocado uno del “lado oscuro”, a veces hay superpoblación de esos seres y casi no hay exponentes del contrario.

      ¿Sabés que no recuerdo exactamente la solución? Sé que tenía que ver con la ejecución de código en la plantilla principal (afectaba a cualquier página que viese el usuario), pero no mucho más (por algo caí dos veces). Recuerdo que tenía que ver con colocar permisos de escritura sólo para el usuario local, pero ya no si era sobre alguna carpeta o archivo específico.
      Igual en ambas veces, encontré la solución por fuera (gracias a lo que me dejó el hacker). Te recomendaría buscar por “secure oscommerce” o “security in oscommerce”, te sorprendería la cantidad de vulnerabilidades que puede llegar a tener…

      Saludos y mucha suerte!

  18. Omar dijo:

    Esta claro que el post original quedó en el olvido al comentar solo de ustedes mismos…

    Que bueno (por así decirlo) que aún exista el hacking ético en México ya casi no hay, de hecho hasta estudiarlo se ha vuelto muy austero..

    Saludos! Por cierto no se que tan conveniente sea compartir la solucion a tus vulnerabilidades.. mm suena riesgoso pero hay demasiados usuarios que no tienen idea del riesgo que corren

    • @Omar: No comprendo bien lo que decís sobre la charla y el olvido; el post mismo es inespecífico por no recordar ya en ese momento el problema exacto. Aunque viendo el link que enviaste, recuerdo que tenía que ver con los permisos de escritura de parte de cualquier usuario. Gracias por el link y queda para los que busquen soluciones más globales para asegurar su OsCommerce!

      El hacking ético es raro en todos lados; hoy se prefiere el sacar ventajas de manera directa, o a través de la venta de esas vulnerabilidades 0-day. Son contados con los dedos de las manos los que salen a testear la red con ánimo de prevenir y enseñar.

      Lo del riesgo/beneficio, siempre es una constante en temas de seguridad. Pero en éste caso, creo que los beneficios son mayores que los riesgos (algo escribí sobre las contraseñas habituales en otro post).

      Saludos y suerte

Dejar una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s