[Solar-general] Excelente nota de Paenza: Hackers

Pablo Manuel Rizzo info en pablorizzo.com
Dom Nov 14 23:34:52 CET 2010


SEGURIDAD DIGITAL Y LA NOTABLE DEMOSTRACION DE UN EXPERTO

Hacker

Pablos Holman es uno de los hackers más hábiles del mundo. En una
reciente charla TED en Chicago, hizo una estremecedora exhibición
sobre cómo todo sistema de seguridad digital puede vulnerarse.

Por Adrián Paenza

Pablos (sí, con “ese” final) Holman es uno de los top hackers (1) en
el mundo. Nació en Alaska hace 39 años. Su verdadero nombre es Paul
Holman. Es una persona muy capaz en lo que hace. Se pasea dando
charlas sobre su profesión. El día que hizo su presentación en
Estocolmo, los diarios lo definieron como un “delincuente con
carisma”, cosa que él mismo no niega. “Un

hacker tiene la mente diferente. Nosotros pensamos distinto. Miramos
el mundo desde otro lado.”

Hace unos días, en Chicago y ante unos 400 asistentes a TEDxMidWest,
Holman contó algunas experiencias a las que le sugiero que les preste
atención, sobre todo si a usted le interesa saber cuán protegido está
cuando usa su computadora personal o su teléfono celular.

Se subió al escenario con su laptop conectada a una pantalla gigante
que tenía atrás. Dijo que él, como la mayoría de los invitados a estas
charlas, había pasado la noche anterior en un hotel (mientras se veía
una foto de la habitación) (2):

“Aburrido como estaba, y sin nada atractivo para ver en la ventana, me
decidí a hacer lo que hace la mayoría de las personas que pasan las
noches fuera de sus casas: mirar televisión. La diferencia está en que
los televisores de los hoteles funcionan en red. Están conectados con
una ‘cajita’ (parecida a la del ‘cable’ de su casa) por la que llega
no sólo la programación de los canales sino que uno también puede ver
películas o jugar con los videojuegos”.

“Como no me gusta pagar por estos servicios que deberían estar
incluidos en el precio de la habitación, conecté este pequeño aparato
(y lo muestra en la pantalla) –que no es muy caro, no llega a los
cinco dólares–, y una vez que todo estuvo ubicado, me dediqué a mirar
películas y también a jugar. Pero como ninguna de las películas ni los
juegos me resultaba interesante, decidí ver qué es lo que estaban
mirando otros pasajeros del hotel.”

Acá, una pausa: póngase usted en el lugar de alguno de esos pasajeros
que estaban en el auditorio. Holman siguió con un toque de sarcasmo.

“Advertí que muchas personas estaban mirando películas pornográficas,
y como no creí que eso fuera adecuado decidí cambiarles el canal y
ponerles algunos dibujos animados que el hotel también ofrecía. De esa
forma, estarían mejor preparados para las charlas de hoy.”

Y siguió: “Pero como aún así me aburría un poco, me dediqué a mirar lo
que estaban haciendo otros pasajeros con sus computadoras,
especialmente aquellos que estaban usando el televisor de la
habitación como monitor. Siempre es atractivo mirar qué páginas de
Internet recorren y cuáles son sus áreas de interés. Ciertamente, es
mucho más entretenido que mirar televisión”.

La incomodidad en el auditorio se hacía evidente. Sonrisas nerviosas.
Murmullos. ¿Sería verdad lo que estaba diciendo Holman?

Pablos siguió, inmutable: “Al margen de quienes miraban televisión
genuinamente, había varios que empleaban el televisor como monitor
para usar sus laptops. Algunos hacían algunas transacciones
comerciales o financieras, comprando algunos objetos en e-bay, o bien
transfiriendo dinero entre sus cuentas personales –y muestra atrás
algunas fotos de esos movimientos bancarios–. La mayoría eran por poco
dinero, pero hubo una que me llamó la atención –y se ve la foto de un
envío de fondos que superaba los 250 mil dólares”.

A esta altura creo que todos los que lo escuchábamos estábamos
fuertemente impactados. Las fotos que él reproducía en la pantalla no
dejaban lugar a dudas. Si eran o no de pasajeros del hotel es otra
historia, pero que Holman había tenido acceso a ese tipo de
transacciones en algún momento, tampoco.

No es que ni usted ni yo sospechemos de que todo esto es imposible, en
la medida en que operamos con la tecnología digital que hoy tenemos a
disposición, pero la bofetada en la cara para todo lo que se dice
sobre seguridad era evidente.

“Levanten la mano las personas que tengan las tarjetas de crédito más
modernas, aquellas que tienen un código de seguridad en un cuadradito
[3] (y mostró un ejemplo) que supuestamente es inviolable. Necesito
cinco voluntarios.”

Cinco personas, reticentes en principio, subieron al escenario. Holman
escaneó las cinco tarjetas, consiguió los datos personales que buscaba
y los exhibió en la pantalla gigante que estaba detrás de él. La
inviolabilidad de las tarjetas quedó destruida.

“Este aparato se puede conseguir en e-bay por ocho dólares. O en
cualquier negocio que venda artículos electrónicos.”

Holman siguió. “Si me lo propusiera, podría rastrear los movimientos
de todas las personas que están acá en la sala y que tienen un
teléfono celular inteligente [4]. Y podría saber dónde están y/o dónde
estuvieron. Y sin apelar a nada diferente de lo que ahora usan todos
los autos modernos: un GPS. Más aún: con un poquito más de
sofisticación, podría interceptar todas las conversaciones
telefónicas.”

La lista podría seguir, pero creo que es más que suficiente. En todo
caso, todo lo que uno sospecha que podría pasar cuando usa una
computadora personal, un teléfono celular o cualquier aparato
equivalente... pasa. O en todo caso, puede pasar. Basta que alguien
(un hacker) quiera buscar el costado vulnerable que uno deja en forma
totalmente inconsciente para que lo encuentre.

No quiero decir con esto que toda transacción comercial o financiera
esté siendo violada, ni que todas los operaciones con cajeros
automáticos o compras con tarjetas de crédito lo sean, o que cada vez
que uno usa una laptop o computadora está siendo observado. No. Sólo
quiero decir que hay un grupo de personas que tiene acceso a muchas
operaciones cotidianas a las que el ciudadano común, como usted y como
yo, no les prestamos atención.

Hay sistemas de seguridad que funcionan bien, pero hay que usarlos.
Sobre todo, si uno cree que le importa conservar su privacidad. De
todas formas, uno ha venido dejando señales y rastros de muchas otras
formas sin haberlo advertido en forma consciente. Si alguien quisiera,
podría llevar un registro de todas sus conversaciones telefónicas, los
números a los que usted llamó, desde qué teléfonos los hizo,
descubriendo además desde dónde los hizo, cuántos minutos habló, etc.
Puede descubrir también quiénes lo llamaron y desde dónde, y la
duración de las llamadas. Pero también, si le interesara, una persona
podría saber todo lo que usted consumió y pagó con su tarjeta de
crédito, a qué restaurants concurrió, cuánto pagó, qué libros compró,
qué películas vio, cuánto pagó de luz, de gas, qué revistas lee, qué
diarios lee, qué auto usa, cada cuánto cambia su auto, etc. La lista
de huellas que hemos dejado es imposible de borrar ahora.

Tuve una charla con Holman de más de una hora. Le pregunté ¿qué es lo
que no puede hacer un hacker? Me respondió con total convicción:
“Nada. Si yo tengo las herramientas, el dinero y el tiempo, no hay
nada que sea inviolable. Lo que la gente tiene que hacer es no repetir
los passwords y cambiarlos con mucha frecuencia, no creer en la
seguridad de las páginas web”.

Y siguió: “Pero no hay que volverse paranoico. ¿Por qué habría alguien
de seguir a algún o algunos individuos? En principio, los objetivos
son otros. Todos los programadores usan para escribir software los
mismos ladrillos, como si fueran los bloquecitos de Lego [5]. Si
alguno de nosotros descubre una hendija para acceder a una de las
construcciones, la va a usar cada vez que aparezca en cualquier otro
emprendimiento. Y la variedad no es tan grande: sólo hay tres sistemas
operativos que usa la abrumadora mayoría de las personas: las
diferentes variantes de Windows, los OS X (que usan las Mac) o Lynux.
Pero le insisto: yo no quiero decir que esto es lo que yo hago, digo
que esto es lo que se puede hacer. Pero para poder hacerlo, hay que
querer... y tener los recursos para hacerlo”.

Me dio después algunas respuestas a lo que intuyo es su preocupación,
porque es la mía: no pensar que porque uno está conectado vía ethernet
está más protegido que si usa una conexión wi-fi. No creer que porque
la información que circula aparece encriptada, eso la hace inviolable.
Es más segura, pero siempre es violable, si hay alguien a quien le
interesa interceptarla.

Pablos me explicó después cómo puede intervenir la conexión bluetooth
entre un teléfono celular y un audífono inalámbrico, probando con
¡10.714.295 (más de diez millones) de PINS (o códigos de seguridad)
por segundo! Otra vez, en seis segundos la conexión ha sido
“crackeada”. Y por lo tanto, todo lo que funcione con tecnología
bluetooth puede ser “intervenido” de la misma forma.

Holman me habló de la posibilidad de detectar los pasaportes (que
ahora tienen un chip incorporado), o los mensajes de texto que son
enviados entre teléfonos o computadoras o lo que fuere.

A esta altura, ya me había convencido. No necesitó más ejemplos.

Para terminar: Holman se encargó sistemáticamente de aclarar que no se
trataba de que él (o un grupo cualquiera de hackers) estuviera
haciendo ninguna de las actividades que él describía. Pero lo que sí
quería enfatizar es que es posible. Después, hacerlo o no hacerlo, es
otra historia.

El mundo de los hackers es fascinante. La capacidad creativa que
tienen es notable y ciertamente no convencional. Dos ex alumnos míos
penetraron en una de las computadoras de la NASA. Dejaron un mensaje:
“No queremos hacer ningún daño, sólo mostrarles la vulnerabilidad de
los sistemas de seguridad que usan”. ¿Cuál fue la respuesta de la
NASA? Los convocó a Estados Unidos y los contrató. Ahora ellos forman
parte del grupo de “defensa” de las computadoras que usan los
norteamericanos y trabajan desde la Argentina. Y lo mismo sucede con
muchísimas grandes empresas que contratan hackers para que los ayuden.
Como dice Holman: “Lo que sucede en la mente de un hacker es lo que
hace falta para poder inventar y descubrir nuevas posibilidades”.

Moraleja: si usted estaba preocupado por las potenciales invasiones a
su privacidad, hace bien. Protéjase entonces. Use diferentes
passwords. Cámbielos con frecuencia. Si necesita hacer transacciones
importantes, hágalas con gente que entienda..., incluso si tiene que
contratar hackers para que lo protejan, hágalo. Pero no tiene sentido
volverse paranoico.

Una frase última de Pablos me dejó pensando: “Si a usted lo persigue
un oso, su preocupación no debería ser poder correr más rápido que el
oso. Le alcanza con correr más rápido que sus amigos”. Traducción: los
que buscan vulnerar los sistemas de seguridad tienen peces más grandes
para freír que usted. Puede que su turno no llegue nunca, pero no se
crea invulnerable.
Notas:

(1) Hacker es la palabra inglesa que sirve para describir a quienes se
especializan en acceder a los códigos de seguridad de las
computadoras, acceden a ellas afectando la privacidad que
supuestamente cada uno de nosotros cree que tiene. Algunos de ellos,
quizás la mayoría, pero es difícil saberlo, intentan socializar el
software, de manera tal que nadie pueda arrogarse la propiedad
intelectual de algo que se escriba para ser usado en una computadora
personal. Para Holman, un hacker es aquel que intenta descubrir todo
lo que es posible hacer con un objeto que usa tecnología digital.

(2) Si bien la palabra de Holman aparece entre comillas, no se trata
de una versión textual de sus dichos porque yo no tenía grabador ni
tampoco hay hasta acá una filmación accesible. Pero la esencia de lo
que dijo es lo que me importa reproducir en el texto.

(3) Se refiere a las nuevas tarjetas de crédito que tienen un chip
incluido y usan la tecnología RFID que permite que usted haga una
compra usando la tarjeta sin necesidad de firmar: basta con que un
escaner lea su información “encriptada” y que la transmita por
radiofrecuencia.

(4) Holman hablaba de los Blackberry o Android o Iphones, etc.
Cualquier teléfono celular que funcione como un GPS (Global Position
System).

(5) LEGO es una marca registrada de los bloquecitos o ladrillos que
los niños (o no tanto) usan para construir desde casas hasta aviones,
autos, tractores, etc. En mi época se llamaba Mecano. Ahora son
bloquecitos LEGO.

http://www.pagina12.com.ar/imprimir/diario/sociedad/3-156854-2010-11-14.html


-- 
Pablo Manuel Rizzo
-------------------------------
http://pablorizzo.com
-------------------------------



Más información sobre la lista de distribución Solar-general