Comentario Beck - Qué es un hacker ?

Escrito por hlomhe en Noticias

Decidí mover estos comentarios a un post especial. Puesto que considero que beck toca algunos puntos muy interesantes y algunas ideas que aunque para mi gusto un poquito radicales. Creo que todos podemos aprender de las mismas para sacar nuestras propias conclusiones. Haciendo notar que nadie tiene la verdad absoluta.

Primero comentario - Realizado por Beck.

<beck>: Que es esto?? Hackers eticos ? Que es un hacker etico para ustedes ? Que skills debe tener un hacker etico segun ustedes? (no sirve su about) hacer SQL injections y XSS scriptings no es ser un hacker. Mas bien deberian ser “Organizacion Mexicana de Pentester's Eticos” y compran un core-impact o canvas. El concepto de hacker esta muy tergiversado por la tele. No caigan en ese tipo de conceptos, lean a Paul Graham Minimo. creo que un dia los vi en bugcon, Pero no creo que fuera real. Mi comentario es 'fuerte' si lo quieren ver asi pero no ofensivo. cualquier cosa escribanme.

Respuesta de Héctor L. al comentario de Beck.

Qué es esto? La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país.

Qué es un hacker ético? Ufff pues quien sabe , primero deberiamos de preguntarle al Ec-Council. Por lo menos lo que nosotros hacemos es hacer que los miembros firmen un código de ética con validez legal para si existe un problema con ese miembro.

Y como te menciono más adelante. Tengo personas que se dedican a varias cosas. Es decir hay abogados que pertenecen a la OMHE. Y el decir hacker ético fue para tener un nombre pegajoso y fácil.

Si nos ponemos a hablar de el verdadero significado de la ética acompañados de unas chelas podriamos durar horas, pero si te gusta filosofear y eso con gusto para la siguiente reunión.

Qué skills debe tener un hacker ético según ustedes?

Skillz. - Por lo menos para mi un chingo. Debe de programar muy bien, conocimiento de networking y no hablo de tener un curso de cisco sino de leer los rfcs para aprender cosas chidas.

Debe de tener una forma de vida diferente, ver las cosas desde otro aspecto.

Por lo menos yo considero que en México lo mejor que tenemos es al nahual.

Yo solo trato de estar contento conmigo mismo haciendo uso de mi libertad y con 21 años siempre tratando de ser mejor y seguir mis ideales. Le guste a quien le guste.

Con respecto al punto de que deberiamos ser Organización Mexicana de Pentester's Éticos. Quizá tengas razón , deberiamos, pero el mercado no se mueve así.  De hecho mi idea original fue ponerle algo como Organización Mexicana de Seguridad Informática, pero de igual manera me hubieran criticado y quizá ese nombre no hubiera tenido el mismo impacto que el otro.

- El Ec-Council no debería de ofrecer la certificación Ethical Hacker - A mi en lo personal se me hace una estupidez que en un boot camp de 2 semanas ya te puedas autodenominar hacker ético.

- Symantec no debería de ofrecer mayor calidad en sus productos.

- Microsoft Windows debería de ser un sistema seguro y no obligar a sus usuarios a comprar un antivirus.

- No deberían de existir las personas que se hacen llamar gurus dentro de algunas comunidades, ya que es la mayor muestra de egocentrismo.

- Empresas que venden apliances para seguridad informática, no deberian de decirles a sus clientes que venden cajas mágicas que lo resuelven todo.

En cualquier de mis platicas puedes preguntarme y te responderé de igual manera. La industria de la seguridad informática no se maneja de una forma adecuada. No pienso cambiarla ni mucho menos. Es una tarea dificil.

Simplemente me adapto al entorno y veo que se puede hacer. Pero si tienes una mejor idea estaría encantado en apoyarte.

Con respecto al comentario de comprar CANVAS ó Core-impact - Mi respuesta es - los conosco pero de igual manera puedo usar tools como metasploit, nmap, openvas, nikto, webscarab, ntop, snort, netcat, tshark y bueno varias me pueden servir no crees ? Comprar software privativo para hacer mi trabajo no se me hace una idea conveniente. A menos que realmente lo que voy a adquirir sea muy bueno. Tengo que admitir que el core-impact es una chulada pero esta muy caro. Quizá despues lo compre pero no entiendo el punto de comprar un software. ????

La otra vez vi tu ponencia en la cual criticabas que todo se ha vuelto de alto nivel y ya a nadie le gusta el hardware, ni programar en ensamblador y mucho menos el shellcode programming. Creo que hay mucho por hacer.

Quiero decirte que como Héctor López muchos de mis pensamientos son divergentes pero me adapte a aceptar algunos cambios para poder tener más posibilidad de alcanzar mis objetivos y crecer más rápido. Esto fue al incluir personas de otras areas. Para poder tener más soporte. La informática no lo es todo. Por lo menos yo no lo veo así y una organización requiere de contadores, abogados, administradores y muchas cosas más.

Estoy de acuerdo que hacer SQL injections y XSS scriptings no es ser un hacker - concuerdo con tu opinión. Pero el concepto real de hacker es algo muy abstracto y muchos tienen diferentes puntos de vista con respecto a eso.

Con respecto a tu comentario en relación al concepto de hacker esta muy tergiversado por la tele: Estoy totalmente de acuerdo sino preguntale al hacker de la hora de la papa que se dedicada a ver videos en youtube. Ya les mandaste un correo para quejarte con ellos ? Creo que eso si es un verdadero insulto al término hacker.

Muchos dicen que los hackers se originaron en el MIT, otros dicen que los hackers se originaron en berkeley con las tendencias de phreaking del capitan crunch. Muchos otros dicen que el verdadero hacking viene de la cultura del cyber punk y los hackers spaces hechos por el ccc, otros dirán que el hacking se expandió con el grupo 2600. Muchos dicen que los hackers son personas que les gusta hacer que las cosas funcionen de manera diferente, otros siguen la filosófia de raymond. Muchos llaman a Richard Stallman hacker otros solo lo nombran como buen programador. Para algunos escritores de phrack es necesario hacer una intrusión a sistemas y mantener el lado black. Yo mismo le he preguntado a varias personas que considero muy buenas que es un hacker. Y te puedo asegurar que nunca se ha repetido el mismo concepto al 100 % de una persona a otra.

Por último te menciono que a mi no me gusta autodenominarme hacker; Yo soy un geek con mucho placer por la seguridad informática, GNU/Linux y Programación. Si te molesta el nombre de la organización nada puedo hacer tiene fines de marketing, etc…

Quizá no sea el más adecuado pero tampoco esta pensado en hacer algo para ofender a otras comunidades ni mucho menos, yo mismo he tratado de convivir con muchas personas , obtener ideas para cambiar y ver poco a poco. La única verdad esque ni yo se cuanto pueda durar la organización y si pueda lograr todos mis objetivos marcados. Pero de menos si se que he tratado de impartir conocimiento bajo ningún costo. Nunca he cobrado por una sola ponencia. Hemos hecho algunos proyectos activistas de combate a la pedofília en internet, Hemos tratado de combatir un poco la ignoracia, he hablado con instituciones educativas para que mejoren el plan de estudios para los ingenieros en sistemas, hemos debatido sobre la ley en México y otras cuestiones. Hemos tratado de ser un espacio alternativo para chavos que desean aprender.

En fin fuera de los proyectos lucrativo que tiene la OMHE, hay una filosofía de hacer cosas por amor a la humanidad, por ridícula que pueda parecer esta frase para algunos.

Y siempre en mis ponencias muchos conceptos no los manifiesto como una verdad absoluta y explico al público que es mi punto de vista muy personal.

De igual manera me gustaría decirte que entre a tu platica de criptografía y te admiro mucho, te considero muy bueno para lo que haces. Ojalá despues en persona puedas aclararme algunos puntos y yo pueda hacer lo mismo.

Y tomalo como una empresa, digo todos estan abiertos a opinar y demás pero esto no quiere decir que voy a correr a cambiarle el nombre porque tu lo mencionas. Tengo mis ideales y esperanza en realizarlos.

Libertad , Igualdad y Fraternidad.

Héctor López - Fundador

OMHE

Respuesta de Beck

Bueno… mi comentario va a lugar en el aspecto de que las personas nuevas en la escena , pueden tener una imagen erronea de lo que es el hacking.

Todo eso de que mencionas de metasploit y nmap y todo eso … vaya…

no por usar eso hace a alguien un hacker… todo eso es TRIVIAL.

Mas adelante de este mail te comento lo que para mi es un hacker,

Sin embargo aprovecho el punto para hacer notar que Fyodor

lleva un par de anios buscando por alguien que presente un nuevo port-scanner

Lo que hace pensar que hacen hackers que hagan eso.

Por ejemplo..

Personas que han visitado Mexico como Fernando Gont de la IETF

quien descubrio vulnerabilidades en ICMP mas alla de lo que hizo Ofir Arkin.

Mira deja cito una parte del correo que le respondi al universal sobre hacking.

preguntandome sobre q hace y que no hace un hacker.

-----

un verdadero cracker/hacker entiende la naturaleza del computo , puede hacer lo que quiera e investigar los protocolos , reprogramarlos y modificarlos.

pudiendo hacer cosas mucho menos triviales…. yo te puedo mostrar que con google y un par de cosas mas, puedes 'hackearte' en 1 minuto por WEB a alguien.. (que el WEB es otra historia). (pero esto incluso se vende en el sanborns por 50 pesos en libros con portada amarilla)

En Mexico se tergiversa todo… y los verdaderos hackers no existen en Mexico.

o no los ves , tal vez estan haciendo investigacion o ganando su sueldo gustosamente.

yo opino que los verdaderos hackers tambien son gente que tienen buenas formacion academica. , asi es en estos tiempos

El hacking como se conoce en hollywood ya esta extinguiendose.

y los metodos de explotacion en las cosas se vuelven mas complejos.

Sobre los hackers que tienen formacion academica..

hay sus excepciones , pero esas excepciones terminan leyendo sobre estos temas a nivel cientifico… para poder conseguir el conocimiento suficiente (notese suficiente mas no conocimiento completo)

para poder entender mejor como funcionan las cosas…

Ese es mi punto de vista.

--------------- FIN DE CORREO

Y en resumen , para mi un hacker en ejemplos es alguien que:

- hace buena ingenieria inversa de cualquier tipo (hardware , software)

- sabe programar bien un sistema operativo.

- implementa, innova en estructuras complejas (imagenes , video , audio, compresion, cifrado)

- tiene una solida formacion academica.

- entre otros…

ya despues de esto el 'hacking' como se conoce usualmente es una consecuencia.

Que NO es un hacker para mi (por la razon de que es trivial… y no requiere esfuerzo mental , solamente talacha):

- Un admin que conoce su sistema operativo

- un defacer de paginas (asi use herramientas libres o privativas y unix etc..)

- un 'experto en sql injection , xss , etc..'

- una persona que se dedique a web apps.

- una persona que siente necesidad por escribir codigo en una servilleta en una borrachera, (notese que son hola mundos o strcpy's() )

- una persona que use miles de gadgets y sea respetado por eso

El hacking va mas alla, el hacker hace TCP/IP , el hacker hace Lempel-ziv-welch,

El hacker hace Linux/BSD/Windows etc.. o rompe DES, el hacker supera la seguridad de RSA con geometria algebraica o hace que un robot juegue futbol o entiende la transformada de coseno discreta para manipular imagenes mas alla de solo fijarte si el MSN puede ejecutar codigo arbitrario, y un hacker sabe buscar sobre toneladas de informacion sin necesidad de google , “Notese que el NO-hacker usa google como su dios”, un hacker puede hacer procesamiento de seniales si te falla el modem o entender el modelo de espacio de vectorial para manejo de toneladas de informacion en tiempo constante y pequenio o definir la transformada compleja necesaria para hacer un CAPTCHA y no te spammeen o

implementa en 1 byte un polinomio de grado 7 sobre Z2 para definir la manera mas rapida

de manipular campos finitos y generar aritmeticas extremadamente rapidas y asi sin que te des cuenta estes transmitiendo informacion cifrada a nivel militar en tu aspire one en menos de una fraccion de segundo

al momento de comprar tu CD de New Kids on the Block por internet, tambien sabe que la manera mas rapida de generar numeros primos aleatorios no es deterministica

y la relacion que podria tener la funcion zeta de riemann con los numeros primos y conoce como openssl genera primos aleatorios y para que y como verificar su primalidad

de manera rapida usando probabilidad para que asi puedas conectarte por SSH a un servidor remoto y dejar bajando torrents en tu universidad desde tu casa.

el hacker en el aspecto web, audita php, apache , ruby , iis , etc..

hace codigo seguro por default y no confia en el codigo ajeno, no confia en ti y

jamas te conocera, el hacker tiene buen sentido del humor, el hacker sabe enganiarte

y te saca tu password mientras tu sonries.

Como vez , el hacker puede tener multiples facetas, y el ser hacker no es nada sencillo.

y como veras , en mexico son pocos o son nulos, dependiendo de la concepcion que sigas teniendo.

Esto que estoy diciendo espero publicarlo mas seriamente pronto.

un saludo espero mi comentario sirva de algo y no sea para causar polemica.

beck

Comentario Héctor López.

Qué te puedo decir beck ? Estoy completamente de acuerdo con tu comentario.

Y como lo expuse en una presentación. Hasta la OMHE crea lamers, por personas que aveces no saben entender el significado de lo hermoso de todo esto. Del arte de saber que es lo que esta pasando atravez del cable. Me he topado con muchos que se dicen hacker de foros de hacking en internet. Qué unicamente se dedican al carding , pharming y demás actos delictivos. Creo que esto si es un verdadero problema. Qué la gente confunda el término delincuente o ratero con la palabra hacker. 

Entiendo que te gustaría que el término hacker tenga un significado como ese, pero pues poco a poco. Y estoy a tus ordenes para cualquier cosa que me sugieras hacer para poder colaborar con este tipo de ideas.

Comentarios

miércoles 19 de noviembre, 2008 @ 23:20

nitr0us 

The UNIX Terrorist (th_uT):
 
"…And remember, kids,
 
knowing how to program or wanting really badly to figure out how
 
things work inside doesn't make you a hacker! Hacking boxes
 
makes you a “hacker” ! That's right! Write your local
 
representatives at Wikipedia/urbandictionary/OED and let them
 
know that hackers are people that gain unauthorized
 
access/privileges to computerized systems! Linus Torvalds
 
isn't a hacker! Richard Stallman isn't a hacker! Niels Provos
 
isn't a hacker! Fat/ugly, maybe! Hackers, no! And what is up with
 
the use of the term “cracker”? As far as I'm concerned, that term
 
applies to people that bypass copyright protection mechanisms.
 
Vladimir Levin? HACKER. phiber optik? HACKER. Kevin Mitnick? OK,
 
maybe a gay/bad one, but still WAS a “hacker.” Hope that's clear…"
 
http://www.phrack.org/issues.html?issue=65&id=2#article

miércoles 19 de noviembre, 2008 @ 23:55

nitr0us

bueno si nos vamos a definiciones de 'gente famosa'

porque no pegas la de Eric S. Raymond ? , o la de los que hacian los 'hacks' en MIT que es donde viene la palabrita 'hacker'.

Saludos

jueves 20 de noviembre, 2008 @ 00:19

Héctor L.

Antes que nada un saludo mi estimado nitr0us. Tienes mucha razón creo que hay tantoss diferentes puntos de vista de personas famosas, que por ahí se debería de empezar para poder a sacar una tabla comparativa y poder ver que patrones son los que más se repiten y observar si es posible sacar un común denominador del significado de la palabra hacker. Aún así creo que sería imposible eliminar todas las lagunas y poder generar un concepto confiable. Pero bueno, los que quieran pueden ampliar más este post colocando ideas distintas. 

Me gustaría agregar que yo considero que no solo se requieren skillz relacionados con matématicas para ser un hacker. Yo creo que hacker es alguien que conoce algo a la perfección y tiene la capacidad de mejorarlo, destruirlo, cambiarlo, etc… Puede ser sobre distintas areas de estudio. Física, Matemáticas, Filosofía, Mecánica, Electrónica, Leyes, Medicina, Arte, Fotografía, Deportes, etc… Pero este es mi muy particular punto de vista.

viernes 21 de noviembre, 2008 @ 18:58

beck

Bueno , yo no le doy mucho peso al de Unix terrorist, a quien le das mas peso , a alguien que tiene 30 anios de experiencia o a un wey que tiene 8 anios de experiencia ?

yo prefiero darle peso a las definiciones de weyes que aun estan vivos y son activos como Eric S. Raymond , Paul Graham , o gente del MIT que son los que inventaron el concepto.

Saludos

viernes 12 de diciembre, 2008 @ 09:04

Thundar

esta platica esta interesante me late esper0 que zalga a la luz y q t0do el mund0 empiece a 0pinar 4cerca d3 los hackers aunque l0s d0s tien3n mucha raz0n me gustaria escuchar mas opiniones acerc4 de l0s h4ckers aunque com0 ahI lo comentar0n n0 afuerza uN hacker es algui3n que hace cosas ilegales 0omo lo llamaron en pr1ncipio cuando se inicio lo de l0s hackers y crackers les llamaban sombreros bl4ncos y sombreros negros yo solo opino que este tip0 de conducta solo es un4 sensaci0n de sed p0r 4prend3r m4s y no p0r l4st1m4r al pr0j1mO saludos a t0dOz los h4mbri3nt0s no digo q sea un hacker solo digo qu3 m3 gusta 4pr3nd3r y disfutar d3 l4 v1d4

viernes 12 de diciembre, 2008 @ 09:08

Thundar

y es0 de l4 etica hackerzi4n4 pu3s p4r4 m1 s0l0 3s un4 f0rma de v3r la vida divagand0 y filosofando d3 com0 es y de c0mo s3 clas1f1c4 dich4 persona 4unqu4 parece q no digo n4d4 sol0 dig0 q cada quien tiene su propia etica h4ckerz14n4

viernes 23 de enero, 2009 @ 18:30

crobert

la vdd estoy de acuerdo con la filosofia de esta org es mejor ser reconocido por los aportes que nuestras mentes pueden hacer para mejorar la seguridad de nuestro pais ya tenemos sufientes con las ratas de nuestros politicos y tanta delicuencia ademas de q nos podemos conseguir chamba jajja pero me gusta y voy a estar por aqui apenas empiezo con la programacion en lenguake c ,no c mucho pero pues no hay mas q estudiar y ponernos retos y querer  ser un lammer

viernes 23 de enero, 2009 @ 18:31

crobert

la vdd estoy de acuerdo con la filosofia de esta org es mejor ser reconocido por los aportes que nuestras mentes pueden hacer para mejorar la seguridad de nuestro pais ya tenemos sufientes con las ratas de nuestros politicos y tanta delicuencia ademas de q nos podemos conseguir chamba jajja pero me gusta y voy a estar por aqui apenas empiezo con la programacion en lenguake c ,no c mucho pero pues no hay mas q estudiar y ponernos retos y no ser un lammer perdon me equivoque en el msj anterior

martes 24 de marzo, 2009 @ 16:51

Arturo

Dan risa, me cae. Pero hay que darles chance, porque se nota, sin conocerlos, que están chavitos e incluso están todavía tratando de lidiar con su individualidad, como adolescentes, escribiendo en l33t y ese tipo de cosas intrascendentes.

Yo estoy bastante de acuerdo con la definición de Beck. Diría además que un hacker tendría un interés natural, y adquiriría la habilidad para escribir correctamente, porque ante todo, la comunicación de las ideas es vital para el hacker, ya que es el único medio de preservación del conocimiento. Ejemplos de obsesión por el lenguaje, RMS con su gran elocuencia en sus conferencias, y la claridad de sus ideas; además, ha aprendido (y rápido), a hablar otros idiomas para comunicar su mensaje. RMS se autodenomina ya hoy como hacker, y creo que tiene todo el derecho. Otro caso es el interés de Erick Raymond por el Jargon File y sus contribuciones al mismo, como un homenaje al lenguaje y la necesidad natural de un diccionario como referencia para la correcta comunicación. Yo me inclino por la definición de hacker del Jargon File.

Creo que un hacker es alguien que se apasiona por el conocimiento en general, y es alguien que busca manifestar su ingenio, muchas veces a través de bromas. También es gente que reacciona ante el desperdicio de recursos, espacios y conocimiento. El hacking en la seguridad es sólo un caso particular de la aplicación de la filosofía hacker, y es bastante importante porque si algo necesita asegurarse es porque es considerado valioso, y por lo tanto, si un sistema de seguridad falla, aquello que se cree de valor está en riesgo. Para el hacker los sistemas de seguridad son interesantes, porque son como un acertijo de alambres retorcidos que hay que resolver.

Me gusta el punto de vista de Héctor López, que dice que no le importa lo que la gente piense de sus definiciones o de su organización. Esto es muy acertado en la filosofía hacker, ya que para el verdadero hacker, lo importante es ser y conocer. El reconocimiento es un subproducto de su conducta, y por lo tanto en general un hacker no se autodenomina como tal, y no busca (pero agradece: todos tenemos ego) la aceptación de la comunidad.

El único wanabe aceptable es el que humildemente declara su admiración por otros hackers, y de manera honesta busca sus propias respuestas; tal como el templo Shaolin: maestro y pequeño saltamontes. El wanabe verdadero merece respeto porque es un virtuoso del aprendizaje y mantiene abiertas las puertas de su mente al conocimiento. Todo hacker es wanabe, porque el conocimiento es infinito.

El hacking tiene orígenes en la cultura hippie, en la cultura de la abundancia, que dice que la sociedad no debería estar llena de barreras para crear escasez y generar sobreprecio en recursos que en realidad cuestan poco. Hoy en día, casi todos los dispositivos de seguridad se usan para estos fines, y de alli que surjan escenas como la del phreaking y el cracking de software propietario. Sin embargo, hay gente que pertenece a estas escenas, pero hacen las cosas por hobbie, o por obtener reconocimiento. El acto de violar el dispositivo para estas gentes no es un fin: es el medio para obtener fama, para llenar una ambición de reconocimiento; busca en primera poner su nombre en un archivo inf. Mandar el mensaje a las productoras de software de que el DRM es absurdo, es para el pseudo-hacker meramente un subproducto; para el hacker la situación es todo lo contrario.

El hacker verdadero no es elitista, ya que su mayor interés es el conocimiento y la conservación del mismo. El elitismo va en contra de la filosofía de la abundancia. Como ejemplo, RMS invita con su mensaje al mundo entero a adoptar la filosofía hacker, siendo el Software Libre su conducto.

Creo en conclusión que el hacker es esencialmente ético; que no hay hackers que no sean éticos, porque el hacker es en esencia (bajo su propio código), un agente constructivo. Un hacker puede vender sus servicios y poner su conocimiento a disposición de otros, pero siempre estará interesado en la aplicación final de dichos servicios, y se negará a aplicarlos para propósitos contrarios al bien social.

Saludos,

Arturo