UN GRUPO HACKER DENUNCIA
LA INSEGURIDAD DE LOS SERVIDORES DE TELEFÓNICA
Mercè Molist
"Todo empezó por el fallo de
configuración del CGI de la página principal de Telefónica",
explica Green Legend, editor de la revista de seguridad informática
Saqueadores Edición Técnica (SET). En el número de
noviembre, se relata con pelos y señales cómo un miembro
del 'staff', Paseante, consigue entrar en la máquina que controla
la mayor parte de tráfico de Telefónica en Internet, incluidos
medios de comunicación, como "El País", entidades financieras
y algunos de los servicios más visitado de la red española.
En su incursión, hace dos meses, Paseante tuvo el poder de desviar, bloquear o espiar todo el tráfico a webs, ftps, telnets o correo, "dejar a los usuarios sin servicio, pegar un Never Admit masivo y cargarme tanto tráfico que las quejas iban a llegar hasta la ONU, o lo que quisiera, era completamente mío", explica. Por contra, decidió cerrar el agujero y hacer pública su aventura en la última edición de SET, que el grupo edita desde 1996.
Hacker de renombre desde que, hace dos años, hizo también público en la revista cómo penetrar los "routers" de Infovía, Paseante explica en esta entrega su paso por el principal PacketShaper de Telefónica, "un sofisticado sistema de control de tráfico, con un sistema operativo propio, para dar prioridad a un tráfico en detrimento de otro, establecer mínimos garantizados...". Aprovechando un error del programa, hasta ahora desconocido, Paseante consiguió el acceso máximo. Le ayudaron también un CGI (Common Gateway Interface) mal configurado y un descuido de Telefónica: no tener registrado el programa PacketShaper, por lo que el hacker pudo inscribirlo él mismo, conseguir así los manuales y "el acceso total del que llevo disfrutando largo tiempo", asegura.
"Es necesario conscienciar a la gente
de la falta de seguridad, o de su falsa sensación de seguridad.
Y que aprendan las compañías a ver a quien contratan. De
la manera que se ha hecho público, es casi imposible que nuestros
lectores se lancen al ataque. Se ha omitido información crucial
deliberadamente, para salvar la máquina de Telefónica, nuestra
meta no es destruirla. La seguridad, en general, no es muy buena en ningún
sitio dentro de nuestras fronteras", asegura el editor de SET. Añade
Paseante, en el artículo: "Siempre hemos defendido la ética
que dice que los hackers entran para mirar, para explorar y no para reventar
cosas o chafar servicios. Por grande que fuese la tentación, hay
que demostrar que eso no son palabras vacías".
Saqueadores Edición Técnica.
http://www.set-ezine.org
http://www.imedia.es/set