[Tutorial & How to] ¿Cómo hackear un sitio?

El siguiente será un tutorial extenso de cómo hackear un sitio web. Obviaré detalles básicos, por lo que usuarios con pocos conocimientos deberán buscar en algunos sitios algo de información relacionada con el tema.

Al ser un tutorial tan profundo, espero que todos los nuevos hackers (hackers, hackers noobs y sólo noobs) sean capaces de tumbar cualquier sitio en un tiempo corto de aprendizaje. Sin más preámbulo, comencemos.

Paso I. Seleccionar el sitio web.

El primer paso que uno debe seguir a la hora de atacar un sitio, es saber cuál será. Esto permitirá posteriormente determinar las herramientas que podrán usarse para llevar a cabo nuestra tarea.

Paso II. Seleccionar las herramientas.

Muchas herramientas pueden ser utilizadas para atacar un sitio web: desde keyloggers -si no quieres perder el tiempo «rompiendo» contraseñas por «Brute Force» e ingeniería social, hasta Massive Pings y Multi Pongs, Fake BackPorts scan, XSS, PayLoad Attacks, Denial Of Service mediante inclusión de código remoto no solicitado, Attack Bots, etc. Pero los hackers más avanzados, utilizan un correo electrónico simplemente.

Paso III. El ataque de los hackers. Mastermind Attack. 

Este es uno de los puntos más críticos a la hora de atacar. Una mezcla avanzada de todo lo anteriormente mencionado, puede permitir que un ataque sea totalmente indetectable.

Estos tres pasos básicos los aprendí de la mano de uno de los grupos Glandestinos de hacking más grandes de latinoamérica -y quizá de los más grandes del mundo.  Ahora, veamos un ejemplo:

El siguiente ejemplo es una prueba de cómo atacar un sitio web. Tiene contenido explícito que sólo debe ser utilizado si se tiene experiencia en el área. Abstenerse Hackers Noobs y Novatos enteros.  

Paso I. 

En el ejemplo que llevaremos a cabo, seleccionamos uno de los sitios de seguridad más reconocidos del mundo. Sabemos que su autor es una de las eminencias en el área de IT (Internet Technologies), Security Managenment, Coding & Developement, etc., lo que convierte al sitio en un blanco difícil y retador (Aquí un vídeo de myself dando una clase avanzada sobre redes autonómas). Pero eso no nos interesa. Somos hackers capaces de superar a cualquiera.

El sitio en cuestión, es nada más y nada menos que el blog bolsanegra.blog. (http://bolsanegra.com)

Paso II.

Como les mencioné, existen muchas maneras de aprovechar las vulnerabilidades de un sitio. Pero los hackers más avanzados de nuestro grupo glandestino argentino realizan esta técnica que resulta muy eficaz:

Envíando un correo con tamañas amenazas es imposible que el autor no se sienta preocupado.

Luego, envíando otro correo para, por medio de fake intrusive backports, obtener un poco más de temor.

(Nótese la importancia de establecer una cuenta regresiva mediante un plazo específico no negociable).

Paso III.

Probar que el ataque fue exitoso.

Cuando ya hayamos llevado a cabo el ataque indetectable, procedemos a hacernos con las pruebas de nuestro éxito.  Visitando el mencionado blog, pudimos notar que en efecto, el sitio había sido éxitosamente hackeado:

Pudimos determinar en el tiempo previsto que el sitio fue hackeado mediante este post publicado a los pocos minutos de realizar un segundo ataque: ¡Caramba! Hackearon mi sitio

Como era de esperarse, las respuestas por parte de la comunidad de bloggers no se hicieron esperar. Lo que nos da mayor crédito:

Prueba número 1. Amenazas de un Hacker

Prueba número 2. Hacker o… Mastermind

Prueba número 3. La mayor de todas las pruebas. Sabes que tu ataque ha sucumbido las bases de la red, cuando aparece citado en tres sitios web :  Incidentes provocados por hackers.

Del que podemos citar los tres últimos incidentes registrados:

• 2000 – Un hacker adolescente canadiense conocido como ‘Mafiaboy’ conduce un ataque DoS y hace que Yahoo, eBay, Amazon.com, CNN y otros sitios web se tornen inaccesibles. Es sentenciado a ocho meses en un centro de detención para jóvenes.
• 6 de noviembre de 2003 – Microsoft anuncia un fondo de recompensa de 5 millones de dólares. El dinero se dará a aquellos que ayuden a seguir las pistas de los hackers que tienen como blanco las aplicaciones de software de Microsoft.
• Agosto/septiembre 2007 – Un grupo glandestino de hackers que tiene agentes de la CIA, la NASA, la RSA, la SGAE, la GAY, y la YMCA entre otras unidades especiales, dedicados al robo de contraseñas de hotmail ataca masiva e indetectable al sitio Bolsanegra.com de myself. El sitio jamás pudo recuperarse de tamaño ataque y tuvo que seguir online sin más remedio (Ver el comentario de uno de los miembros del Team Bolsanegra (TM) en De Amenazas e higiene personal… ).

Como pueden notar, el sitio bolsanegra.blog recibió un ataque encubierto. No pudo ser detectado por ninguno de los servidores, routers, switches ni horns de los sistemas de hosting. Ni siquiera por el mismísimo blog. Un ataque perfecto.

Agradecimientos:

Diego, Armando, HackingMSN, 4rtur0, bl4ckFac3, Alejo, ESPIAMSN.