__________________________________________________________________________________
![]() |
Esta Guía puede ser útil hasta para los Superhackers (¡ay ay, se ve venir un bombardeo de flames!)
¿Quieres ser real y totalmente impopular? Entonces házles demasiadas preguntas equivocadas a tus amigos hackers.
¿Pero cómo podemos saber cuáles son las preguntas equivocadas? Bueno, comprendo vuestros problemas porque a mí también me bombardean con flames cada cierto tiempo. Esto se debe en parte a que, sinceramente, creo en las preguntas tontas. Me gano la vida haciendo preguntas tontas. La gente me paga mucho dinero por acudir a conferencias, por llamar por teléfono y por estar haciendo preguntas tontas en los grupos de noticias de Usenet de modo que pueda averiguar cosas para ellos. Y, adivina qué: a veces las preguntas más idiotas te dan las mejores respuestas. Esta es la razón por la que no me verás insultando a gente que hace preguntas tontas.
Nota para principiantes: ¿Te daba miedo hacerme la pregunta tonta "Qué es un flame"? ¡Ahora lo sabrás! Es un montón de odiosos desvaríos y locuras hechos, por e-mail o mensaje en Usenet, por algún idiota que cree que él o ella está demostrando su superioridad mental a través del uso de un lenguaje sucio y/o mal educado del tipo "sufres una inversión rectocraneal", "Anda a ca***, vete al d****, imbécil de m****" y, por supuesto, "@#$%^&*!". Esta nota para los novatos es mi flame contra esos que los envían y sobre los que estoy muuuyyy por encima.
Pero incluso aunque pueda ser bueno hacer preguntas tontas, a lo mejor no te gustan las palabrotas de esta gente. Así que si los quieres evitar, ¿cómo encontrar las respuestas por ti mismo?
Esta Guía trata sobre una de las formas de encontrar información sobre hacking sin tener que hacer preguntas a personas: navegando por la Web. La otra forma de hacerlo es comprando montones de manuales sobre ordenadores, pero eso cuesta mucho dinero. Además, en algunas partes del mundo es difícil conseguir manuales. Afortunadamente, casi todo lo que quieras aprender sobre ordenadores y comunicaciones está disponible gratuitamente en algún lugar de la Web.
En primer lugar, vamos a ver los motores de búsqueda de la Web. Algunos sólo sirven para buscar en la Web propiamente dicha, pero otros te permiten buscar en los grupos de noticias de Usenet que han sido archivados desde muchos años atrás. También las mejores listas de correo de hackers están archivadas en la Web.
Hay dos consideraciones importantes acerca del uso de los buscadores. La primera es qué buscador utilizaremos y la segunda son las tácticas de búsqueda propiamente dichas.
He usado muchos buscadores, pero finalmente he llegado a la conclusión de que para una investigación seria sólo se necesitan dos: Altavista (http://www.altavista.com/) y Dejanews (http://www.dejanews.com/).
Altavista es el mejor para la Web, mientras que Dejanews es el mejor para buscar en grupos de noticias de Usenet. Pero si no me crees, puedes ir a una dirección que tiene enlaces a casi todos los buscadores de Web y grupos de noticias en http://sgk.tiac.net/search/
¿Y cómo podemos usar eficientemente estos buscadores? Si les pides que busquen "hacker" o incluso "cómo practicar hacking", te aparecerán montones de direcciones y mensajes de grupos de noticias. Y entonces empiezas a navegar penosamente de un sitio de hackers a otro. Te encuentras con portentosos sonidos de órgano, calaveras de ojos rojos girando, llamas animadas... y cada sitio tiene enlaces a otros sitios con música pretenciosa y arrogantes incorrecciones gramaticales del tipo "¡¡¡sOY eL 31337, TíOs!!! P*&* madre, soy tan bueno hackeando que deberían inclinarse y besarme el c^&$*!". Pero en realidad no tienen nada de información. Eh, ¡bienvenido al mundo de los que querrían ser hackers!
Lo que necesitas saber son algunas palabras que permitirán al buscador que elegiste darte resultados más útiles. Por ejemplo, digamos que quieres averiguar si yo, la SupREmA gObERnaNte del MuNDo de HaPPy hACkEr, soy una hacker de élite o simplemente una impostora. La opción de los PerdEDorEs sería ir a http://www.dejanews.com y hacer una búsqueda en los grupos de noticias de Usenet sobre "Carolyn Meinel", asegurándote de marcar el botón "old" (antiguos) para hacer salir información de años atrás. Pero, si haces esto, lo que obtendrás será esta larga lista de encabezados, de los cuales la mayor parte no tienen nada que ver con el hacking:
Re: Octubre El
Niño-Oscilación Sureña info gonthier@usgs.gov (Gerard J.
Gonthier) 1995/11/20
Re: Internic Guerras
MrGlucroft@psu.edu (The Reaver) 1995/11/30
shirkahn@earthlink.net (Christopher Proctor) 1995/12/16
Re: Lyndon LaRouche ¿quién es? lness@ucs.indiana.edu
(lester john ness) 1996/01/06
U-B Datos de observación de
Indice de Colores - cmeinel@nmia.com (Carolyn P. Meinel)
1996/05/13
Re: ¿Fraude en Marte? Artículo de un científico
implicado gksmiley@aol.com (GK Smiley) 1996/08/11
Re:
Aviso de Vida en Marte: NINGUN fraude twitch@hub.ofthe.net
1996/08/12
Se busca revista electrónica de ayuda a hackers
- rcortes@tuna.hooked.net (Raul Cortes) 1996/12/06
Carolyn
Meinel, Súuuuuper Genio - nobody@cypherpunks.ca (John
Anonymous MacDonald, remailer 1996/12/12
Y así, la lista sigue y sigue...
Pero si especificas "Carolyn Meinel hacker" y haces un clic en la opción "all" (todo) en lugar de "any" (cualquiera) en el botón "Boolean", obtendrás una lista que comienza con:
Media: "Unamailer causa dolor en
Navidad" -Mannella@ipifidpt.difi.unipi.it (Riccardo Mannella)
1996/12/30 Cu Digest, #8.93, Tue 31 Dec 96 - Cu Digest
(tk0jut2@mvs.cso.niu.edu) <TK0JUT2@MVS.CSO.NIU.EDU>
1996/12/31 RealAudio entrevista con Happy Hacker -
bmcw@redbud.mv.com (Brian S. McWilliams) 1997/01/08 Etc.
De este modo, todos esos mensajes acerca de mi aburrida vida en el mundo de la ciencia no salen, sólo la jugosa información sobre el hacking. Ahora supongamos que todo lo que quieres ver es flames diciendo que como hacker no valgo para nada. Los puedes poner al principio de la lista añadiendo (con el botón "all" seleccionado todavía) "flame" o "p***" o "cu**", deletreando con cuidado esas palabrotas en lugar de esconderlas con asteriscos. Por ejemplo, buscar "Carolyn Meinel hacker flame" con Boolean en posición de "all" nos devuelve un único encabezado. Este importante escrito nos dice que la lista de Happy Hacker es un triste ejemplo de lo que pasa cuando moderadores decorosos como nosotros censuramos palabrotas y necias diatribas.
Nota para el novato: "Boolean" es un término matemático. En el buscador Dejanews piensan que el usuario no tiene ni idea de lo que "Boolean" significa y por eso nos dan la opción de "cualquiera" o "todo" y después lo etiquetan como "Boolean", así que te sientes estúpido si no lo comprendes. Pero en la verdadera álgebra booleana se pueden usar los operadores "y", "o" y "no" en las búsquedas de palabras (o cualquier búsqueda de grupos de palabras). "Y" significa que la búsqueda te devolvería sólo los temas que tengan "todos" los términos mencionados; "O" significa que la búsqueda te devuelve "cualquiera" de los términos. El operador "no" excluiría los temas que se incluyen en el término "no", incluso aunque tengan alguno o todos los otros términos de búsqueda. Altavista tiene álgebra booleana de verdad bajo la opción de búsqueda "avanzada".
Pero dejemos por un minuto de lado todos estos buscadores de la Web. En mi humilde opinión -pasada de moda-, la mejor manera para buscar en la Web es hacerlo de la manera en que su inventor, Tim Berners Lee, la imaginó. Comienzas en un buen sitio y, después sigues los enlaces a los sitios relacionados. ¡Qué fácil!
Aquí tienes otro de mis viejos trucos. Si realmente quieres volar por la Web y tienes una cuenta shell, puedes hacerlo con el programa lynx. En la línea de comandos escribes "lynx" seguido por la URL que quieres visitar. Gracias al hecho de que lynx sólo muestra texto, no perderás el tiempo esperando la descarga de la música de órgano, las calaveras animadas y los JPEGs pornográficos.
Entonces, ¿dónde están los buenos puntos de partida? Simplemente navega a las direcciones recogidas al final de esta Guía. No sólo tienen archivos de estas Guías, sino que también tienen muchas otras informaciones valiosas para el hacker novato, además de enlaces a otros sitios de calidad. Mis favoritos son:
http://www.cs.utexas.edu/users/matt/hh.html y http://www.silitoad.org/
Atención: Aviso para padres. Encontrarás otros excelentes puntos de partida a lo largo de esta Guía.
Lo siguiente es una de las preguntas más comunes que me llegan: "¿¿¿¿Cómo entro en un ordenador???? :( :("
Si le haces esta pregunta a alguien que no sea una encantadora señora de cierta edad como yo, obtendrás una auténtica reacción grosera. Aquí tienes el por qué: el mundo está lleno de muchos tipos de ordenadores ejecutando muchos tipos de software en muchos tipos de redes. Cómo entrar en un ordenador depende de todos estos factores. Por eso necesitas estudiar en profundidad el sistema de un ordenador antes de que puedas siquiera pensar en una estrategia para entrar en él. Ésta es una de las razones por las que entrar en un ordenador es comúnmente reconocido como la cumbre del hacking. Si no te habías dado cuenta de esto, vas a necesitar hacer muchísimas cosas antes de sólo poder soñar con entrar en ordenadores.
De acuerdo, dejaré de esconder los secretos de la entrada ilegítima a ordenadores universal. Prueba:
Bugtraq archives: http://www.securityfocus.com/
NT Bugtraq archives: http://www.ntbugtraq.com/
Advertencia de cárcel: si quieres dedicarte al deporte de introducirte en ordenadores, deberías hacerlo o bien con tu propio ordenador o bien conseguir el permiso del propietario, si quieres entrar en el de otra persona. De otro modo, estarás violando la ley. En los Estados Unidos, si te metes en un ordenador que se encuentra al otro lado de una frontera estatal, estás cometiendo un delito federal. Si traspasas las fronteras nacionales para practicar hacking, recuerda que la mayoría de las naciones tienen tratados que permiten la extradicción mutua de delincuentes.
Espera un momento; no es por navegar a esos sitios por lo que te convertirás instantáneamente en un hacker de primera. A menos que ya seas un excelente programador con conocimientos suficientes en Unix o Windows NT, te darás cuenta de que la información de estos sitios NO te garantiza acceso al instante a cualquier ordenador víctima. No es tan fácil. Vas a tener que aprender a programar. Estudiar a fondo al menos un sistema operativo. Por supuesto que alguna gente toma atajos. Tienen aMIgOs que les dan un lote de programas listos para entrar. Después los van probando en un ordenador tras otro hasta que dan con la raíz y accidentalmente borran ficheros del sistema. Después son detenidos y corren a la EFF (Electronic Frontier Foundation) lloriqueando porque los federales les persiguen. Asi que en serio ¿Tienes tantas ganas de ser un hacker que estás dispuesto a estudiar hasta los más mínimos detalles de un sistema operativo? ¿Realmente quieres cambiar tus horas de sueño por temas misteriosos, como protocolos de comunicaciones? El viejo y caro método es comprar y estudiar un montón de manuales. <Modo Novato activado> Mira, yo soy un auténtico creyente de los manuales. Me gasto alrededor de 200 dólares al mes en eso. Los leo en el cuarto de baño, mientras estoy en los atascos y en la sala de espera del médico. Pero si estoy en mi escritorio, prefiero leer manuales y otro tipo de documentos técnicos de la Web. ¡Además, ese material en la Web es gratis! <Modo Novato desactivado>.
El recurso más fantástico de la Web para el aspirante a novato, digo, hacker, son las RFCs. RFC es la abreviatura inglesa de Petición de Comentario. Esto puede sonar a un grupo de discusión pero, en realidad, las RFCs son los documentos fundamentales que nos cuentan cómo funciona Internet. El extraño nombre de "RFC" viene de la historia antigua, cuando muchas personas discutían de qué puñetera manera podían hacer que esa ARPAredecita funcionara. Pero en la actualidad RFC significa "La Verdad Evangélica acerca del Modo en que Internet Funciona" en lugar de "Hey Tíos, Discutámoslo Juntos".
Nota para el novato: ARPAnet era la red de la Agencia para la Investigación Avanzada de Proyectos estadounidense, experimento lanzado en 1969 que evolucionó hasta convertirse en Internet. Cuando lees RFCs, a menudo encuentras referencias a ARPAnet y ARPA -o a veces DARPA-. Esa "D" viene de "Defensa". DARPA/ARPA continúa variando de nombre entre estos dos. Por ejemplo, cuando Bill Clinton llegó a la presidencia de los Estados Unidos en 1993, cambió de nuevo la denominación de DARPA por la de ARPA porque "Defensa" era Algo Malo. Luego, en 1996, el Congreso de los Estados Unidos aprobó una ley que la volvía a denominar DARPA porque la "Defensa" era Algo Bueno.
Ahora, lo ideal sería simplemente leer y memorizar todos las RFCs. Pero hay zillones de RFCs y algunos de nosotros necesitamos algún tiempo para comer y dormir. Por eso, los que no tenemos memoria fotográfica y mucho tiempo libre necesitamos ser selectivos con lo que leemos. Así que, ¿cómo encontrar una RFC que conteste nuestra última pregunta tonta?
Un buen punto de partida es una lista completa con todos las RFCs y sus títulos en: ftp://ftp.tstt.net.tt/pub/inet/rfc/rfc-index>. Aunque es un sitio FTP, puedes acceder con tu navegador.
(Discúlpame, la dirección de arriba ya no existe. Hoy en día se puede encontrar un conjunto de RFCs organizadas con enlacesentre ellas en Connected: An Internet Encyclopedia, http://www.FreeSoft.org/Connected. No puedo siquiera comenzar a explicar lo maravilloso que es este sitio. Sólo hay que ir a probarlo. Otros repertorios de RFCs que permiten búsquedas están en:
http://www.rfc-editor.org/rfc.html
http://www.faqs.org/rfcs/
http://www.pasteur.fr/infosci/RFC/
http://www.normos.org/
http://www.csl.sony.co.jp/rfc/)
¡¿O qué tal la RFC de las RFCs?! Exacto, la RFC 825 "intenta aclarar el estado de las RFCs y proporcionar una guía para los futuros autores de RFCs. En cierto sentido es una especificación de RFCs". Para encontrar esta RFC, o cualquier otra RFC de la que tengamos el número, sólo hay que ir a Altavista y buscar "RFC 825" o cualquiera que sea el número. Asegúrate de ponerlo entre comillas como en este ejemplo para conseguir los mejores resultados.
¡Guau, estas RFCs pueden ser bastante difíciles de comprender! Caray, ¿cómo podemos siquiera saber qué RFC leer para conseguir la respuesta a nuestras preguntas? Adivina qué, hay una solución, un fascinante grupo de RFCs llamado "FYIs". Más que especificar cosas, las FYIs simplemente ayudan a explicar las otros RFCs. ¿Cómo conseguir los FYIs? ¡Fácil! Acabo de ver la RFC sobre las FYIs (1150) y he leído que:
Las FYIs pueden conseguirse via FTP en NIC.DDN.MIL, con el nombre de archivo FYI:mm.TXT, o RFC:RFCnnnn.TXT (donde "mm" se refiere al número de la FYI y "nnn" al número de la RFC). Entra por FTP, nombre de usuario ANONYMOUS y contraseña GUEST. El NIC también nos proporciona un servicio automático de correo electrónico para aquellos sitios que no pueden usar FTP. Envía la petición a SERVICE@NIC.DDN.MIL y en el campo de Asunto del mensaje indica el número de FYI o RFC, algo así: "Asunto: FYI mm" o "Asunto: RFC nnnn".
Pero aún mejor que esto es una colección organizada de RFCs enlazadas entre sí, en http://www.FreeSoft.org/Connected/. No puedo ni siquiera comenzar a explicar los maravilloso que es este sitio. Sólo hay que ir a probarlo. Admito que no se encuentran todos las RFCs, pero tiene un tutorial y un conjunto de enlaces a los RFCs más importantes comprensible por el novato.
Por último, pero no menos importante, puedes echar un vistazo a dos sitios que ofrecen abundante información técnica sobre seguridad informática:
http://csrc.nist.gov/secpubs/rainbow/
http://GANDALF.ISU.EDU/security/security.html
Espero que sea suficiente información para mantenerte
ocupado estudiando durante los próximos 5 ó 10 años. Pero no
te olvides de lo siguiente. A veces no es fácil averiguar algo
leyendo enormes cantidades de información técnica. A veces
puedes ahorrarte muchas molestias con sólo hacer una pregunta.
Incluso una pregunta tonta. Eh, ¿te gustaría echar un vistazo
al sitio Web de aquéllos de nosotros que se ganan la vida
haciendo estas preguntas simples? Pásate por http://www.scip.org/. Es la
página de la Sociedad de Profesionales Competitivos de la
Información, la organización donde gente como yo se siente en
casa. Adelante, alégrale el día a alguien. DiViéRTetE haciendo
esas tontas preguntas. ¡Sólo acuérdate, antes de nada, de
poner a prueba de incendios tu teléfono y tu ordenador!