LUK
01-07-2011, 11:56
LulzSec ha revolucionado el panorama de la seguridad con su forma tan sarcástica y burlona de publicar ataques a gran escala a sitios realmente importantes.
Mucha gente asiste atónita al 'fenómeno LulZsec'. A unos les parece bien, otros opinan que no es la manera y tal vez la gran mayoría simplemente comen palomitas mientras leen (o mejor dicho, leían) el timeline de LulzSec (http://twitter.com/#%21/lulzsec)
http://img17.imageshack.us/img17/4519/lulzsec1.jpg
Lo que probablemente no todo el mundo sepa es que, como en el Rock&Roll, en materia de gamberrismo por internet casi todo está ya inventado.
A finales de los años 90 hubo un grupo de hackers que tenían un planteamiento similar: se ocultaban bajo un nombre humorístico y causaban furor en las listas de correo de seguridad (en aquella época no había Twitter ni parecido). El nombre que empleaban: GOBBLES
LulzSec se define como: 'the world's leaders in high-quality entertainment at your expense'
Y GOBBLES: 'the largest active nonprofit security group in existence'
La diferencia con respecto a LulzSec es que ellos eran, bajo mi punto de vista, técnicamente mucho mas brillantes y tenían mas clase. En vez de atacar servidores con burdos ataques DoS o aprovechar vulnerabilidades en servidores mal gestionados, GOBBLES se dedicaba a humillar a expertos de seguridad publicando exploits contra software teóricamente 'difícil de hackear'.
Memorables fueron sus andanadas contra Theo de raadt (http://es.wikipedia.org/wiki/Theo_de_Raadt) líder del proyecto OpenBSD y OpenSSH a quien vejaron públicamente en listas de correo y cuando publicaron un aviso de seguridad de OpenSSH.
Tal vez su momento de gloria -técnicamente hablando- fue cuando encontraron una vulnerabilidad en el servidor web Apache (http://www.securityfocus.com/news/493) y se aseguraron concienzudamente de que fuese compatible con ... OpenBSD (rumores dicen que Theo sufrió una ulcera por culpa de GOBBLES ...)
En total, antes de su cese de actividades dejaron una bonita colección de exploits (http://attrition.org/security/advisory/gobbles/) que abarcaban diferentes tipos de software, desde servicios web como Hotmail, hasta clientes de correo electrónico.
El momento con más repercusión mediática fue a raíz de un comunicado que emitieron explicando como la RIAA (SGAE Americana ...) les había contratado para crear una suerte de virus (http://www.theregister.co.uk/2003/01/14/is_the_riaa_hacking_you/) que se transmitiera a través de ficheros mp3. De primeras suena a fábula, pero resulta que junto con el comunicado liberaron un exploit plenamente funcional para el software de reproducción mp3 'mpg123' y prometieron que liberarían otros exploits para Mplayer o Winamp. La idea era emplear estos exploits para infectar a todos los usuarios y poder monitorizar el uso que hacían de los mp3
Claramente LulzSec ha conseguido un nivel de trascendencia en medios periodísticos inmensamente superior a GOBBLES, pero desde un punto de vista meramente técnico, GOBBLES eran buenos de verdad.
Publicado por Yago Jesus en http://www.securitybydefault.com/2011/07/los-abuelos-de-lulzsec.html
Mucha gente asiste atónita al 'fenómeno LulZsec'. A unos les parece bien, otros opinan que no es la manera y tal vez la gran mayoría simplemente comen palomitas mientras leen (o mejor dicho, leían) el timeline de LulzSec (http://twitter.com/#%21/lulzsec)
http://img17.imageshack.us/img17/4519/lulzsec1.jpg
Lo que probablemente no todo el mundo sepa es que, como en el Rock&Roll, en materia de gamberrismo por internet casi todo está ya inventado.
A finales de los años 90 hubo un grupo de hackers que tenían un planteamiento similar: se ocultaban bajo un nombre humorístico y causaban furor en las listas de correo de seguridad (en aquella época no había Twitter ni parecido). El nombre que empleaban: GOBBLES
LulzSec se define como: 'the world's leaders in high-quality entertainment at your expense'
Y GOBBLES: 'the largest active nonprofit security group in existence'
La diferencia con respecto a LulzSec es que ellos eran, bajo mi punto de vista, técnicamente mucho mas brillantes y tenían mas clase. En vez de atacar servidores con burdos ataques DoS o aprovechar vulnerabilidades en servidores mal gestionados, GOBBLES se dedicaba a humillar a expertos de seguridad publicando exploits contra software teóricamente 'difícil de hackear'.
Memorables fueron sus andanadas contra Theo de raadt (http://es.wikipedia.org/wiki/Theo_de_Raadt) líder del proyecto OpenBSD y OpenSSH a quien vejaron públicamente en listas de correo y cuando publicaron un aviso de seguridad de OpenSSH.
Tal vez su momento de gloria -técnicamente hablando- fue cuando encontraron una vulnerabilidad en el servidor web Apache (http://www.securityfocus.com/news/493) y se aseguraron concienzudamente de que fuese compatible con ... OpenBSD (rumores dicen que Theo sufrió una ulcera por culpa de GOBBLES ...)
En total, antes de su cese de actividades dejaron una bonita colección de exploits (http://attrition.org/security/advisory/gobbles/) que abarcaban diferentes tipos de software, desde servicios web como Hotmail, hasta clientes de correo electrónico.
El momento con más repercusión mediática fue a raíz de un comunicado que emitieron explicando como la RIAA (SGAE Americana ...) les había contratado para crear una suerte de virus (http://www.theregister.co.uk/2003/01/14/is_the_riaa_hacking_you/) que se transmitiera a través de ficheros mp3. De primeras suena a fábula, pero resulta que junto con el comunicado liberaron un exploit plenamente funcional para el software de reproducción mp3 'mpg123' y prometieron que liberarían otros exploits para Mplayer o Winamp. La idea era emplear estos exploits para infectar a todos los usuarios y poder monitorizar el uso que hacían de los mp3
Claramente LulzSec ha conseguido un nivel de trascendencia en medios periodísticos inmensamente superior a GOBBLES, pero desde un punto de vista meramente técnico, GOBBLES eran buenos de verdad.
Publicado por Yago Jesus en http://www.securitybydefault.com/2011/07/los-abuelos-de-lulzsec.html