Notas: Para evitar cualquier problema evitare nombres, definiciones o cualquier cosa que me pueda llevar a la orca.
En este mundo hay personas que uno simplemente no les puede decir No o darse el lujo de quedarles mal. Para mi una de esas personas es mi Jefe. Lo curioso no es porque sea mi jefe, no es porque sea mi mejor amigo o alguien al que le deba mucho. Es porque simplemente es alguien que me supo ganar como aliado, es alguien que antepone la persona antes que un puesto, un titulo o nombramiento. Alguien que yo respeto, que sabe me apoya en mi ideas locas, que toma en cuenta mi opinión no importa lo ocupado que este. Alguien de admirar.
Y hay empieza mi viaje oscuro, llevándome por el sendero de la devastación informática, a invocar las poderosas magias negras y arcanas del Hackeo Ético. Mi enigmática hazaña empieza con lo mas básico. Un Ftp "abierto de patas", como la puta piedrerita de la linea del tren. Casi desnuda y sin menor seguridad. Completamente irresistible (Sarcasmo negro). La misión que Vega me encomendó es que de una carpeta en un FTP X, lograra descargar un sitio Web (HTML, JS, CSS, PHP) y tratara de correr dicho proyecto en local.
Resulta que dicho proyecto tenia, SSL, Base de datos y unas configuraciones en Php que solo Dios sabe. Ya me conocen, cuando algo es realmente "pichudo", es donde mas me motivo. El reto, las cosas difíciles es algo que me apasiona.
Me di a la tarea de descargar los script y analizarlos en mi computadora local. Después de luchar un rato y simplemente convencido de que la única manera que lograría cumplir con mi misión era entrando por SSH al FTP. Buscar la base de datos, los Certificados SSL en Apache, ademas de la configuraciones de los directorios virtuales.
Tenía la primera regla de oro del hackeo a mi favor. Muchas veces el hackeo es algo que funciona por pura y real oportunidad. No es como en las películas, que tienen equipos de codificación o cosas asi. Aveces hackear es algo tan sencillo como robar el password o asumirlo (abs123, cumpleaños, cédula). También son cosas mas avanzadas como debilidades en el software. Por lo general cuando se descubre una debilidad en un software son un par de días (al menos en software libre) para encontrar el parche de seguridad. Pero el hacker que logra encontrar dicho fallo, se vuelve muy famoso o simplemente tiene un par de días para hacker todo lo que pueda.
NOTA:
No se crean lo de las películas. No todos los software se pueden hackear. Hay algunos que son super seguros y al menos que encuentren un fallo de seguridad o logren robar un password no lo alcanzaran. Se imagina que existiera un hacker que pudiera romper cualquier seguridad. Podría acceder al banco que quisiera, comprar con tarjetas de crédito robadas. Digamos que seria la persona mas poderosa en el mundo.
Resulta que este FTP que les hablo, estaba tan mal configurado que me permitía llegar a Raíz de un directorio UNIX. YAHOOO, tenia la oportunidad que cualquiera hacker desearía. Una mala configuración en un software. Solo necesitaba ver como lograr entrar a servidor por SSH. No dure mucho en pensar que la solucion estaba en:
ssh-keygen -t rsa
El RSA generado lo subí al directorio del home del FTP. Después cuando ejecute el SSH, BINGO. Estaba dentro del servidor para hacer lo que me viniera en gana. Lo primero, la base de datos. Necesitaba buscarla. Con tan mala suerte que la base no estaba instalada en el Mysql del server. Después de hacer algo de magia con un par de comando, encontre un respaldo en SQL (Otra caseria oportunista exitosa). Simplemente lo importe en mi computadora con el siguiente comando:
mysql -u koza basededatosx << backup.sql
Y descargue todos los archivos que necesitaba buscando los comandos por ssh y despues pasarlos a mi servidor local.
Las próxima entrada será; Lo que aprendí en php.init y el httpd.conf en mis días de hacker... No se las pierdan.
No hay comentarios:
Publicar un comentario