Albert Gonzales, un informático de 28 años de Miami, y sus colaboradores han sido acusados de irrumpir en las bases de datos de cinco compañías que utilizaban sistemas de procesamiento de pagos bancarios. Los números fueron robados de Heartland Payment Systems, un sistema de procesamiento de pagos con tarjeta y las cadenas de comercios 7-Eleven Inc y Hannaford Brothers Co. Las otras dos ví­ctimas no han sido identificadas. Heartland dio a conocer el robo a finales de enero. Durante su trayectoria fue utilizando diferentes alias de los cuales se conocen tres: ‘segvec’, ‘soupnazi’ y ‘j4guar17′.

Segun los fiscales, Gonzales y sus colaboradores se dirigieron a las mayores compañías escrutando la lista de la revista ‘Fortune’ de las 500 principales compañías y exploraron sus páginas web corporativas para identificar sus puntos flacos. Los sospechosos pretendían vender los datos a otros que los utilizasen para hacer compras fraudulentas.

Primero, los criminales fueron a establecimientos para identificar el tipo de máquinas de pago que utilizaban. “A partir de octubre de 2006, Gonzales y sus conspiradores investigaron los sistemas de tarjetas de crédito y débito empleados por sus víctimas; idearon un ataque mediante SQL Injection o inyección de código SQL para penetrar en sus redes y robar los datos de tarjetas de crédito y débito; y después enviaron esos datos a servidores que operaban en California, Illinois, Letonia, Holanda y Ucrania”, indica el Departamento de Justicia en una nota.

Un ataque por inyección SQL aprovecha una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos SQL de una aplicación, ya sea un software libre o comercial. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. No es un ataque muy sofisticado o fuera de lo común, este error es de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que está incrustado dentro de otro. Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.

Por ejemplo, el tener instaladas extensiones de terceros dentro del nucleo de un software, puede ser un agujero para este tipo de ataques si la extensión instalada dentro de un núcleo seguro tiene vulnerabilidades. Por este motivo siempre se recomienda verificar cualquier extensión o plugin de un CMS o script.

Gonzales está en la cárcel desde mayo de 2008 a la espera de ser juzgado por otro ‘cribercrimen’ junto a varias personas. Le acusan de haber participado en el ‘crackeo’ de la base de datos de la cadena de restaurantes Dave & Busters.

Según informaciones en el diario Guardian, “Ninguno de sus métodos es revolucionario, se ven este tipo de técnicas en scams casi cada dia” declaró Graham Cluley, un consultor de la compañia de seguridad y tecnologia Sophos. Añadió que: “Parece que existiese un motivo para buscar unicamente grandes compañias y a su vez esta noticia ha descubierto sus carencias en protección de datos.”

En septiembre empezará este juicio y, el año que viene, está previsto que sea juzgado por el que iba a ser su gran golpe. Se enfrenta a una pena de 25 años de cárcel. Habia sido detenido anteriormente por robo de datos en tarjetas bancarias en el año 2003 pero se salvó de ser encarcelado aceptando ser informador y colaborador al servicio de agentes de seguridad americanos.

Desde Wired, se informaba también de que su tren de vida era altísimo y además de lograr grandes sumas en sus delitos, gastaba gran parte de su fortuna, valorada en $1.6 millones de dólares.

La explicación está muy detallada y es especialmente técnica en la disección del crackeo, dificil de entender para quienes no estén muy familiarizados con entornos Linux, sean aficionados al hacking o profesionales de seguridad informática. Lo que indica el autor es que decidió examinar un servidor Linux de un compañero que le comentó que tenia un “comportamiento extraño”, efectivamente habia sido atacado y el autor pudo comprobarlo observando los comandos utilizados a través de la ruta “/var/log/”, en la raiz de “.bash_history”.

Al parecer el atacante utilizó inicialmente un backdoor, un método que usan los distribuidores de malware para evitar la autentificación normal al conectarse remotamente a otro ordenador y mantenerse ocultos en un acceso seguro. Posteriormente usó un bot de IRC, llamado psotnic programado en C++.

Lo mejor es consultar directamente la fuente, un excelente artículo para personas que quieran iniciarse en Linux y en el hacking, con buenos propósitos, se entiende. Según deja a entender el autor, resulta que el cracker podria haber cometido muchos errores dejando tanto rastro que se piensa por su direccion IP y por su nick que podria ser un estudiante de un instituto en Polonia. Los errores cometidos por el cracker fueron:

1. No deshacerse de la información en la raiz .bash_history.
2. Borrar lo contenido en los directorios “/var/log/*”, incluyendo directorios con programas que impedian el inicio de Apache correctamente, una forma de alertar al administrador.
3. Cambió la contraseña de acceso root, otra forma de alertar a un sysadmin.
4. No utilizar una contraseña para proteger su canal IRC lleno de otros zombies