HackThisSite.org , comúnmente conocido como HTS , es un sitio web de seguridad y piratería en línea fundado por Jeremy Hammond . El sitio es mantenido por miembros de la comunidad después de que él dejó la organización. [1] Su objetivo es proporcionar a los usuarios una forma de aprender y practicar habilidades básicas y avanzadas de "piratería" a través de una serie de desafíos en un entorno seguro y legal. La organización tiene una base de usuarios de más de un millón, [2] aunque se cree que la cantidad de miembros activos es mucho menor. La mayor cantidad de usuarios en línea al mismo tiempo fue de 19,950 el 5 de febrero de 2018 a las 2:46 am CT . [2]
HackThisSite cuenta con un equipo pequeño y flexible de desarrolladores y moderadores que mantienen su sitio web, servidor IRC y proyectos relacionados. Produce una revista electrónica que publica en varias convenciones de hackers y a través de su portal hackbloc. Microcosm y Quimbys publican copias impresas de la revista . También tiene una sección breve de noticias y blogs dirigida por desarrolladores .
HackThisSite es conocido por su red IRC , donde muchos usuarios conversan sobre una gran cantidad de temas que van desde eventos actuales hasta problemas técnicos con la programación y los sistemas operativos basados en Unix . En su mayoría, la red IRC HackThisSite sirve como un encuentro social de personas con ideas afines para discutir cualquier cosa. Aunque hay muchos canales en la red IRC, el canal principal, #hackthissite, tiene una bandera +R que requiere que los usuarios registren su apodo ( nombre de usuario ) antes de poder unirse al canal. Este requisito ayuda a reducir las redes de bots en el canal principal, porque tendrían que registrar cada apodo.
Después de la separación [ cita requerida ] de su antiguo sitio hermano CriticalSecurity.Net , HackThisSite mantuvo un conjunto principal de foros . Los foros de Hackbloc también tenían muchos usuarios de HackThisSite involucrados, pero fueron eliminados. Antes de la separación, los foros de CriticalSecurity.net tenían la mayoría de las discusiones de HTS, específicamente relacionadas con la ayuda con los desafíos del sitio, así como preguntas básicas de piratería. Los foros de Hackbloc estaban más enfocados en la discusión hacktivista, así como en un lugar para que la gente discutiera noticias y planificara proyectos futuros. Mucha gente [ ¿quién? ] critica los foros por estar demasiado enfocados en principiantes en comparación con IRC, probablemente porque muchos usuarios nuevos visitan los foros para pedir ayuda con los desafíos. HackThisSite está tomando medidas para tratar de atraer a más usuarios calificados a sus foros. Los miembros contribuyen con textos originales al área de artículos del sitio. Esta área se divide en diferentes secciones sobre una variedad de temas. Algunas de estas secciones incluyen Ética, Tutoriales de desafíos HTS y Activismo político. Los temas que se tratan en estos artículos varían ampliamente en complejidad. Los temas van desde guías para las misiones proporcionadas por HackThisSite hasta artículos sobre técnicas avanzadas en una gran cantidad de lenguajes de programación.
HackThisSite también alberga una serie de "misiones" destinadas a simular ataques del mundo real. Estas van desde diez misiones básicas en las que se intenta explotar errores de scripts relativamente simples del lado del servidor hasta misiones difíciles de programación y de pirateo de aplicaciones . Las misiones funcionan con un sistema de puntos en el que los usuarios reciben puntajes en función de la finalización de las misiones. En general, las misiones se vuelven cada vez más difíciles a medida que el usuario avanza en una categoría de misión en particular.
Los desafíos de piratería web incluyen once desafíos web básicos. Cada desafío consta de una página de autenticación con un cuadro de entrada de contraseña, además de otros archivos que se deben explotar o atacar para obtener la contraseña correcta. La autenticación exitosa en la página principal del desafío hará que el usuario avance al siguiente desafío. Estos desafíos generalmente se consideran simples y se utilizan como una introducción a la piratería. Hay dieciséis misiones realistas que intentan imitar la piratería real, de moderada a difícil, en situaciones de la vida real. Cada misión es un sitio web completo que incluye varias páginas y scripts. Los usuarios deben explotar con éxito una o más de las páginas del sitio web para obtener acceso a los datos necesarios o para realizar cambios.
También existe una sección de Desafíos de programación. Esta sección actualmente consta de doce desafíos que le piden al usuario que escriba un programa que realice una función específica dentro de una cierta cantidad de segundos después de la activación. Estos desafíos de programación varían desde misiones simples como analizar el contenido hasta aplicar ingeniería inversa a un algoritmo de cifrado. Estos ayudan a los usuarios a desarrollar y practicar habilidades de programación sobre la marcha.
El objetivo de los desafíos de aplicación es generalmente extraer una clave de una aplicación, lo que suele implicar algún tipo de ingeniería inversa. Otros desafíos implican la manipulación del programa.
Más recientemente, HTS lanzó desafíos de lógica, que moo, el bot oficial de HTS, proclamó que "no estaban pensados como un desafío para superar como el resto de desafíos de HTS". En cambio, los desafíos de lógica estaban pensados para que los superara el participante solo al resolverlos. En abril de 2009, se deshabilitaron y se eliminaron todos los puntos obtenidos con los desafíos de lógica. Las razones incluían la preocupación de que las respuestas podrían haberse encontrado fácilmente en otro lugar de Internet. [3]
Asimismo, las misiones "básicas extendidas" son de reciente creación. Estas están diseñadas para ser misiones de revisión de código donde los participantes aprenden a leer código y buscar fallas.
Un conjunto de 10 easter eggs escondidos en HTS se conocían como "misiones HTS". Por ejemplo, una de estas "misiones" era el falso Panel de administración. Los desarrolladores decidieron más tarde eliminar los easter eggs de HTS, ya que algunos permitían exploits XSS y SQL y muchos miembros enviaron informes de errores falsos como resultado.
En el sitio web también se encuentran disponibles misiones de esteganografía . El objetivo de estas misiones es extraer el mensaje oculto del archivo multimedia proporcionado. Hay 17 misiones de esteganografía disponibles. [4]
Se ha criticado que la autodescripción de HackThisSite como un "campo de entrenamiento para hackers" alienta a la gente a infringir la ley. Muchas personas relacionadas con el sitio afirman que, si bien algunas de las habilidades que se enseñan pueden usarse para actividades ilegales, HackThisSite no participa en dichas actividades ni las apoya. A pesar de esto, varios miembros individuales han sido arrestados y condenados por actividades ilegales (el más notable es Jeremy Hammond , fundador de HackThisSite). [5]
En noviembre de 2004, el grupo de seguridad HowDark , basado en HackThisSite (ahora desaparecido), notificó al grupo phpBB, los creadores del software de boletines phpBB, una vulnerabilidad grave [6] [7] [8] en el producto. La vulnerabilidad se mantuvo en secreto hasta que se informó a los administradores de phpBB, quienes, después de revisarla, procedieron a restarle importancia a sus riesgos. [9] Descontentos con el fracaso de los grupos a la hora de tomar medidas, HowDark publicó el error en la lista de correo Bugtraq . Usuarios maliciosos encontraron y explotaron la vulnerabilidad, lo que llevó al cierre de varios tablones de anuncios y sitios web basados en phpBB. Sólo entonces los administradores tomaron nota [10] y publicaron una solución. [11] [12] [13] La lentitud de los usuarios finales para solucionar la vulnerabilidad llevó a la implementación del exploit en el gusano Perl/Santy (leer artículo completo) que desfiguró más de 40.000 sitios web y foros de discusión en pocas horas desde su lanzamiento.
El 17 de marzo de 2005, Jeremy Hammond , el fundador de HackThisSite, fue arrestado tras una investigación del FBI sobre un supuesto hackeo del grupo activista político conservador Protest Warrior . Su apartamento fue allanado por el FBI de Chicago y todos los equipos electrónicos fueron confiscados. El gobierno federal afirmó que un grupo selecto de piratas informáticos de HackThisSite obtuvo acceso a la base de datos de usuarios de Protest Warrior, obtuvo información de tarjetas de crédito de los usuarios y conspiró para ejecutar scripts que automáticamente transferirían dinero a una serie de organizaciones sin fines de lucro. El complot fue descubierto cuando un pirata informático que supuestamente estaba descontento con el progreso de la actividad se convirtió en informante. [14] [15]
Los administradores, desarrolladores y moderadores de HackThisSite están organizados de una manera democrática pero altamente anárquica. Esta estructura parece funcionar en la mayoría de los casos. Sin embargo, cuando surgen disputas, las lealtades tienden a volverse muy confusas. Por lo tanto, HackThisSite tiene una larga historia de administradores, desarrolladores y moderadores que se han vuelto del lado oscuro o han dañado gravemente o eliminado por completo el sitio. [16] [17] En el último gran ataque que ocurrió, varios disidentes de sombrero negro obtuvieron acceso a nivel raíz al sitio web y procedieron a " rm -rf " todo el sitio. Posteriormente, HTS estuvo inactivo durante meses como resultado.