Hax0rs Lab es un dúo brasileño (antiguo trío, por lo que buscan nuevo integrante) dedicado en mayor medida al defacement o desfiguración de páginas webs. Investigando sus hazañas, inevitablemente acabé en el mayor repositorio de defacements en Internet, zone-h, donde se disipa toda duda sobre las capacidades de este equipo de adolescentes. Desde mediados de 2001, hace apenas dos años, han conseguido incrustar su mensaje en la página corporativa de empresas como America Online(*.aol.com), Nasa(*.nasa.gov), ICQ, Goodyear, Hewlett Packard(*.hp.com), Siemens(siemens.com.ar), Comsat(Comsat.com.br)Pepsi, Samsung, Microsoft Network, IBM, Alcatel... dejando en ridículo a administradores y arruinando reputaciones.

Pero esto no es lo más curioso, ni de lo que pueden estar más orgullosos. Tienen en su haber el récord del mayor ataque masivo contra servidores, todos desfigurados. Más de 5000 sitios web comprometidos casi a la vez, todo gracias a la eficacia de las herramientas que ellos mismos codifican.

Sin entender de dónde han sacado tiempo para responder a estas preguntas (es raro el día que consiguen hacerse con menos de dos servidores) he traducido sus respuestas, (en un inglés roto) en espera de que os puedan resultar útiles y que saquéis vuestras propias conclusiones.

Hax0rs Lab: "No importa el dinero que inviertan las empresas, no nos podrán detener".

1.- Cuándo y cómo os conocisteis. ¿Tenéis un lugar específico desde donde operáis?

Nos conocimos a través de Internet, pertenecíamos a diferentes grupos. A mediados de 2001 f0ul estableció hax0rs lab, y semanas más tarde llamó a USDL para que entrase en el grupo. Vivimos en diferentes estados de Brasil y no nos conocemos personalmente. Mantenemos un estrecho contacto a través del teléfono, gracias a la confianza ciega que tenemos el uno en el otro y que se ha demostrado con el tiempo. Trabajamos desde nuestros propios Pcs, pero siempre con direcciones falsas (spoofing).

2.- ¿Por qué desfiguración de páginas web? ¿Cuál es vuestra recompensa? Es realmente cierto aquello de ?just for fun??

No esperamos nada a cambio, lo hacemos porque nos gusta, y cuando es posible, lo usamos como arma para protestar y mostrar nuestras propias opiniones. Como muestra, http://www.zone-h.org/en/news/read/id=2407/

3.- ¿Habéis recibido algún encargo a cambio de dinero?

Sí, algunas veces. Casi a diario recibimos también correos de brasileños que quieren que le hagamos otros ?servicios?, como el robo de tarjetas de crédito o la eliminación de multas del sistema de tráfico de Brasil.

4.- Sois muy jóvenes, pesáis dedicar vuestros conocimientos a en un futuro a hacer el bien en alguna empresa de seguridad? ¿Habéis recibido alguna oferta?

Sí, recibimos muchos correos ofrenciéndonos trabajo en este área. Pero nosotros, como Hax0rs Lab (f0ul y USDL) ya trabajamos en este área.

5.- Argentina, Brasil, Alemania son países con teams famosos y prolíficos. ¿Qué país posee un potencial mayor en cuanto a hackers o teams y por qué? O pensáis que la nacionalidad no tiene nada que ver con las habilidades personales.

Entre los tres que mencionas pienso que Brasil posee el mayor potencial. Los medios de comunicación y la ley del país ayudan bastante en esto. No existen leyes específicas que condenen a los ?defacers?.

¡Claro que influye la nacionalidad en la creación del ?defacer?! Pero no creo que influya en la creación del hacker. Un hacker se crea a sí mismo, independientemente de su nacionalidad.

6.- Conocéis algún grupo o hacker español que os llame la atención? ¿Tenéis contacto con alguno? Sois aceptados por el resto de la comunidad hacker?

Sí, mantenemos contacto con grupos de países como España, Argentina, Estonia, Paquistán, Italia, Estados Unidos, Chile, China, Rusia y Francia. Pero no todos son grupos de hackers, muchos son grupos de resistencia anárquica. En Brasil, nosotros mismos formamos parte de Collective R.A.R.A(Resistance Anarchic Revolutionary Armed).

Mantenemos un buen contacto con la comunidad internacional. Debido a la clasificación de Zone-H de los grupos más activos y prolíficos con respecto a los ?defacement?, algunos grupos Brasileños mantienen una cierta rivalidad con nosotros, porque siempre estamos en los medios y en los primeros puestos de la clasificación.

"No nos preocupa que nos pillen"

7.- ¿Os preocupa la posibilidad de que seáis pillados? Las leyes brasileñas no contemplan el defacement como delito...

En absoluto, no nos preocupa. A veces la policía federal brasileña nos llama la atención, pero esto no nos quita el sueño.

Hace algunos meses una IP concreta intentó acceder repetidamente a nuestros correos. La rastreamos y nos sorprendimos al comprobar que la dirección de la policía federal norteamericana.

8.- Normalmente os limitáis a cambiar el index de una página, o robáis datos, modificáis, instaláis puertas traseras... ¿Cuál es el límite autoimpuesto? ¿Realizais hacking ético avisando al administrador antes de actuar?.

El grupo Hax0rs lab es más conocido por sus defacements, pero cuando necesitamos algún dinero extra, nos hacemos con algunos números de cuentas de crédito a título personal, fuera del grupo. Suelo tomar pequeñas cantidades de varias cuentas, para acumular la cifra que necesito.

Sí, instalamos puertas traseras en algunas de nuestras víctimas, pero sólo para que nosotros podamos volver a entrar y usarlos para falsear nuestras propias direcciones IP. No siempre informamos al administrador antes del ataque. Normalmente durante el ataque protegemos la máquina y dejamos un texto de advertencia al administrador explicando que fuimos nosotros quienes explotaron la vulnerabilidad, y sugiriendo que mantenga sus sistemas actualizados al día.

9.- Sois conscientes de la mala publicidad y reputación que puede acarrear para una empresa sufrir vuestros ataques... ¿os importa?

Sí, nos damos cuenta, pero la empresa que sea víctima de una simple modificación de su sitio web, tiene que ser advertida y necesita invertir más en seguridad, porque puede contener información sensible de otras personas, como contraseñas o números de tarjetas de crédito. Es mejor ser visitado por un defacer que por un ladrón.

10.- No tenéis página web propia... Según recoge zone-h, recibisteis de vuestra propia medicina, pero parece ser, según también zone-h, que os pudisteis vengar.

Estamos pensando en montar nuestra propia web. Tenemos el dominio hax0rslab.org. Fuimos atacados por otro grupo Brasileño, pero en menos de 24 horas le devolvimos la jugada, tomando no sólo su página web sino también el canal de IRC de este grupo.

11.- ¿Qué se necesita para entrar en vuestro grupo? ¿Es necesario conocer físicamente a los nuevos miembros?

La ACTITUD resume bastante bien lo que se necesita para entrar en hax0rs lab. Solemos realizar un perfil sicológico de los candidatos antes de que entren en el equipo, y en este caso, necesitaríamos conocerlo personalmente, no sería tan fácil establecer una relación de confianza como la que existe entre USDL y f0ul con alguien nuevo.

12.- ¿Encontráis útiles los esfuerzos de grandes compañías productoras de software (digamos Microsoft y su ?Trustworthing Computing? para detener la amenaza que representáis para ellos? ¿O pensáis que los que desarrollan software libre trabajan mejor en este sentido?

Por mucho que ataquemos a estas compañías, siguen dominando el mercado. Se sienten amenazados por nosotros porque somos capaces de descubrir los errores que dejan pasar al mundo. No importa qué compañía u organización, por mucho dinero que inviertan, no lograrán detenernos.

"No somos hackers"

13.- Al emplear vuestros conocimientos para el defacement, ¿no vais contra la propia filosofía hacker?

Por supuesto, por eso no decimos que seamos hackers. Tan sólo usamos algunas de sus técnicas para enviar nuestro mensaje a las personas.

14.- ¿Conocéis actualmente algún 0day que explotéis activamente? O, por el contrario, existe siempre alguna vulnerabilidad conocida que haya pasado inadvertida por el administrador. [0day hace referencia a una vulnerabilidad que todavía no se ha hecho pública, y por lo tanto, no existe parche programado por la compañía responsable]

Conocemos algún 0day, que nos ayudan en los ataques y su publicación. Algunos los hacemos públicos o terminan por hacerse públicos, pero la mayoría los usamos exclusivamente para el grupo.

Pero la mayoría de las veces usamos vulnerabilidades conocidas que los administradores no han sabido detectar o corregir.

15.- ¿Se os ha resistido alguna vez algún grande?

No, nunca nos rendimos. En el ataque en el que conseguimos desfigurar las 5000 páginas web que contenía el servidor, tardamos tres horas en obtener privilegios de administrador y dos horas más para desfigurar los 5000 sites.

16.- ¿Pensáis que los administradores están concienciados por la seguridad, o que sólo las grandes compañías se preocupan por asegurar sus servidores.?

Por mi experiencia puedo decir que existen muchos administradores de empresas pequeñas más preocupados y preparados que los de las grandes. Pero he de decir que algunas empresas grandes tienen una seguridad excelente.

17.- ¿Qué es más habitual, aprovechar vulnerabilidades software o descuidos del administrador del sistema en la configuración del mismo o aprovechar la ignorancia de los trabajadores?

Lo normal en hax0rs lab es aprovecharse de vulnerabilidades software. Pero entre los demás grupos de defacers, creo que es más habitual aprovechar los fallos de configuración de los administradores en el servidor web.

18.- Programáis vuestras propias herramientas, ¿Están disponibles o las guardáis celosamente? ¿Compartís la información privilegiada?

Sí, hacemos públicas algunas de nuestras herramientas (http://packetstormsecurity.nl/0207-exploits/opensslrv.txt) pero la mayoría las usamos exclusivamente en el grupo, o las regalamos a los amigos más allegados.

"En el futuro crearemos gusanos"

19.- ¿Qué pensáis de los creadores de virus... os veis alguna vez programándolos?

Depende. Tengo que decir, por ejemplo que el Sogib.F ha sido un gran virus, bien programado y que ha producido más de un dolor de cabeza a los administradores de muchas empresas. Lo malo es que estaba realizado con la intención de beneficiar a los creadores de SPAM, lo que rechazamos completamente. También el viejo CodeRed, era un virus genialmente programado y además emitía un mensaje contra los Yankis sin buscar un lucro directo. Sí, creo que en el futuro crearemos algunos gusanos, sin que dañen a los administradores. Tan solo dejarán nuestro mensaje y corregirán el fallo del que nos hayamos aprovechado. Será lo mismo que hacemos ahora, pero de una manera automática, que se esparcirá con mayor velocidad.

20.- Un mensaje para las empresas.

Tienen que invertir más en seguridad, ponérnoslo difícil y tener cuidado con sus empleados. Dejad de pensar sólo en vosotros mismos.

21.-Un mensaje para los administradores

Mantened al día vuestros servidores, actualizándolos cada día.

22.- Un mensaje para la comunidad hacker

Podéis visitarnos en: irc.brasnet.org #hax0rs, o irc.kanopus.com.br #hax0rs.
Hax0rs@hacker.am

Hax0rs Lab son f0ul y USDL.
Las oportunidades favorecen a las mentes preparadas.
Gracias a Sergio de los Santos por esta entrevista.
Entrevista original en: http://www.forzis.com
http://foro.megamultimedia.com