En esta entrada encontraréis literatura, cine, facebook, historia, traiciones, fortunas, cervezas y…hacking, que si no, esta entrada no debería verse dentro de nuestra sección de Hackeos Memorables . Hace unos meses llegó a mis manos el libro “Multimillonarios por accidente: El nacimiento de Facebook. Una historia de Sexo, Dinero, Talento y Traición“, de Ben Mezrich, “especialista” en la escritura de libros basados en su gran mayoría en hechos reales. Si habéis visto la película de “21“, con Kevin Spacey, ahora ya sabéis de quién es el libro en el que se basó. Ha ocurrido lo mismo en esta ocasión, ya que este libro de Facebook también tiene su versión cinematográfica, que justamente se estrenará este Octubre bajo el nombre “The Social Network”, y que cuenta también con Aaron Sorkin como guionista y David Fincher como director. El libro intenta narrarnos la historia de Mark Zuckerberg desde su época universitaria, cómo surgió la idea de una red social, el por qué de tirar las primeras líneas de código de Facemash (primera versión de Facebook) en las que se sostienen actualmente millones y millones de personas, los problemas con sus compañeros, disputas, posibles “robos de ideas”, etc etc, que no paso a comentar porque no quiero destriparos el libro (o media película…). Digamos que Facemash nace como recopilatorio de fotografías de los y las integrantes de las residencias dentro de Harvard, las cuales tenéis listadas en este enlace de la wikipedia. (Zuckerberg pertenecía a la de Kirkland, podréis verle en su habitación aquí) ¿Y cómo consiguió obtener las fotografías de casi todas las Harvard Houses? Aquí llega lo más interesante, en mi opinión, y que sobretodo tiene algo que ver con seguridad/hacking: fue página por página de cada una de las residencias, e intentó hacerse con los anuarios (facebooks…), que podían consultarse online, servicio especialmente enfocado para los integrantes de la propia residencia. Algunas páginas contenían mecanismos de seguridad como por ejemplo el poder acceder únicamente desde la red de la propia residencia, otras permitían consultas muy limitadas que arrojaban pocos resultados (recordamos, Zuckerberg quería TODAS), u otras directamente no tenían un anuario online. ¿Y el resto? El propio Mark llevaba un blog en el que detallaría todas sus peripecias y acciones en todos los servidores de las residencias, cómo accedía a ellos, que mecanismos tuvo que romper, dificultades que se encontraba, número de cervezas que llevaba según tecleaba, etc. Tenéis fragmentos de dichos posts en el capítulo 5 “La última semana de Octubre de 2003″ del libro, o incluso online aquí o aquí. Como recopilación, dejo un pequeño listado con las acciones para cada residencia:

  • Residencia Kirkland: El servidor web Apache tenía configurado la funcionalidad de listado de directorios o “directory listing“. Como os podréis imaginar, con buscar el directorio adecuado con las imágenes, y una buena extensión “descargatodo” (el propio Mark comenta que con su Firefox es coser y cantar…), se pudo hacer con todas las imágenes del facebook de esta residencia.
  • Residencia Eliot: El servidor como tal no presentaba vulnerabilidades, pero la aplicación de búsqueda, mediante una NULL search o “búsqueda nula” devolvía todos los registros de la base de datos en una misma página de resultados. Con guardar dicha página, obtuvo todas las imágenes.
  • Residencia Lowell: En este caso, Mark se encontró que para realizar búsquedas necesitaba autenticarse. Tras muchas cabalas, pensó que el proceso de autenticación únicamente requeriría el nombre del estudiante y su identificador (aquí sería como un número de matrícula en según que universidades…).Y así fue. Tras conseguir uno válido, se topó con otra barrera, ya que la página mostraba los resultados pero de una forma paginada. Mediante un script de perl pudo automatizar la tarea de navegar por todas las páginas y descargarse las imágenes. Dicho script para otros casos lo reutilizaría…
  • Residencia Adams: Aquí no había mecanismo alguno de seguridad…por lo que mediante el script de perl utilizado en Lowell fue descargando todas las imágenes de las múltiples páginas que las mostraban.
  • Residencia Quincy: Esta residencia no tenía su anuario online en aquella época.
  • Residencia Dunster: Aquí hubo dificultades, ya que las búsquedas que mostraban resultados eran aquellas que no excedían de 20 posibilidades. Lo dejó para más adelante.
  • Residencia Leverett: Se aprovechó de la vulnerabilidad de Eliot, la búsqueda nula, pero los sólo devolvía los resultados en página por persona, por lo que tuvo que echar mano de su script, con algunas modificaciones. Este método se repitió también para la Residencia Mather.

Como comenté anteriormente, de las restantes hubo una en la que sabía que el acceso a la página se restringía por dirección IP, teniendo que conseguir una dentro del rango de direccionamiento de la propia residencia. Por ello, se tuvo que dar una vueltecilla por la noche, en busca de un latiguillo perdido, algo no tan cómodo como lo que llevó a cabo desde su silla de la habitación, pero que si era necesario…había que hacerlo. En el resto del libro no encontraréis detalles tan directos sobre accesos, vulnerabilidades y demás, pero aún así os lo recomiendo sobretodo si os interesa conocer más detalles desde el inicio de esta red social hasta nuestros días. Veremos como tratan este capítulo en la película, supongo que esta vez no utilizarán efectos especiales en la pantalla con miles de luces, chips corriendo por autopistas de información, bits saltando, cantando y bailando…

Web oficial “The Social Network” [+] Enlaces en TheCrimson (periódico estudiantil de Harvard) relacionados con Mark Zuckerberg y sus comienzos con FaceMash y TheFacebook.[1] [2] [3] [4] [5] [6] [+] Imágenes de Zuckerberg de su epoca universitaria [1] [2] [3] [+] Primeras versiones de TheFacebook.com recogidas en archive.org

http://www.securitybydefault.com/2010/07/hackeos-memorables-como-nace-facebook.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+(Security+By+Default)