[Solar-general] Excelente nota de Paenza: Hackers
Juan Carlos Gentile
jucar en hipatia.info
Lun Nov 15 03:20:15 CET 2010
On Sunday 14 November 2010, Pablo Manuel Rizzo wrote:
> SEGURIDAD DIGITAL Y LA NOTABLE DEMOSTRACION DE UN EXPERTO
>
> Hacker
>
> Pablos Holman es uno de los hackers más hábiles del mundo. En una
> reciente charla TED en Chicago, hizo una estremecedora exhibición
> sobre cómo todo sistema de seguridad digital puede vulnerarse.
>
> Por Adrián Paenza
>
> Pablos (sí, con “ese” final) Holman es uno de los top hackers (1) en
> el mundo. Nació en Alaska hace 39 años. Su verdadero nombre es Paul
> Holman. Es una persona muy capaz en lo que hace. Se pasea dando
> charlas sobre su profesión. El día que hizo su presentación en
> Estocolmo, los diarios lo definieron como un “delincuente con
> carisma”, cosa que él mismo no niega. “Un
>
> hacker tiene la mente diferente. Nosotros pensamos distinto. Miramos
> el mundo desde otro lado.”
>
> Hace unos días, en Chicago y ante unos 400 asistentes a TEDxMidWest,
> Holman contó algunas experiencias a las que le sugiero que les preste
> atención, sobre todo si a usted le interesa saber cuán protegido está
> cuando usa su computadora personal o su teléfono celular.
>
> Se subió al escenario con su laptop conectada a una pantalla gigante
> que tenía atrás. Dijo que él, como la mayoría de los invitados a estas
> charlas, había pasado la noche anterior en un hotel (mientras se veía
> una foto de la habitación) (2):
>
> “Aburrido como estaba, y sin nada atractivo para ver en la ventana, me
> decidí a hacer lo que hace la mayoría de las personas que pasan las
> noches fuera de sus casas: mirar televisión. La diferencia está en que
> los televisores de los hoteles funcionan en red. Están conectados con
> una ‘cajita’ (parecida a la del ‘cable’ de su casa) por la que llega
> no sólo la programación de los canales sino que uno también puede ver
> películas o jugar con los videojuegos”.
>
> “Como no me gusta pagar por estos servicios que deberían estar
> incluidos en el precio de la habitación, conecté este pequeño aparato
> (y lo muestra en la pantalla) –que no es muy caro, no llega a los
> cinco dólares–, y una vez que todo estuvo ubicado, me dediqué a mirar
> películas y también a jugar. Pero como ninguna de las películas ni los
> juegos me resultaba interesante, decidí ver qué es lo que estaban
> mirando otros pasajeros del hotel.”
>
> Acá, una pausa: póngase usted en el lugar de alguno de esos pasajeros
> que estaban en el auditorio. Holman siguió con un toque de sarcasmo.
>
> “Advertí que muchas personas estaban mirando películas pornográficas,
> y como no creí que eso fuera adecuado decidí cambiarles el canal y
> ponerles algunos dibujos animados que el hotel también ofrecía. De esa
> forma, estarían mejor preparados para las charlas de hoy.”
>
> Y siguió: “Pero como aún así me aburría un poco, me dediqué a mirar lo
> que estaban haciendo otros pasajeros con sus computadoras,
> especialmente aquellos que estaban usando el televisor de la
> habitación como monitor. Siempre es atractivo mirar qué páginas de
> Internet recorren y cuáles son sus áreas de interés. Ciertamente, es
> mucho más entretenido que mirar televisión”.
>
> La incomodidad en el auditorio se hacía evidente. Sonrisas nerviosas.
> Murmullos. ¿Sería verdad lo que estaba diciendo Holman?
>
> Pablos siguió, inmutable: “Al margen de quienes miraban televisión
> genuinamente, había varios que empleaban el televisor como monitor
> para usar sus laptops. Algunos hacían algunas transacciones
> comerciales o financieras, comprando algunos objetos en e-bay, o bien
> transfiriendo dinero entre sus cuentas personales –y muestra atrás
> algunas fotos de esos movimientos bancarios–. La mayoría eran por poco
> dinero, pero hubo una que me llamó la atención –y se ve la foto de un
> envío de fondos que superaba los 250 mil dólares”.
>
> A esta altura creo que todos los que lo escuchábamos estábamos
> fuertemente impactados. Las fotos que él reproducía en la pantalla no
> dejaban lugar a dudas. Si eran o no de pasajeros del hotel es otra
> historia, pero que Holman había tenido acceso a ese tipo de
> transacciones en algún momento, tampoco.
>
> No es que ni usted ni yo sospechemos de que todo esto es imposible, en
> la medida en que operamos con la tecnología digital que hoy tenemos a
> disposición, pero la bofetada en la cara para todo lo que se dice
> sobre seguridad era evidente.
>
> “Levanten la mano las personas que tengan las tarjetas de crédito más
> modernas, aquellas que tienen un código de seguridad en un cuadradito
> [3] (y mostró un ejemplo) que supuestamente es inviolable. Necesito
> cinco voluntarios.”
>
> Cinco personas, reticentes en principio, subieron al escenario. Holman
> escaneó las cinco tarjetas, consiguió los datos personales que buscaba
> y los exhibió en la pantalla gigante que estaba detrás de él. La
> inviolabilidad de las tarjetas quedó destruida.
>
> “Este aparato se puede conseguir en e-bay por ocho dólares. O en
> cualquier negocio que venda artículos electrónicos.”
>
> Holman siguió. “Si me lo propusiera, podría rastrear los movimientos
> de todas las personas que están acá en la sala y que tienen un
> teléfono celular inteligente [4]. Y podría saber dónde están y/o dónde
> estuvieron. Y sin apelar a nada diferente de lo que ahora usan todos
> los autos modernos: un GPS. Más aún: con un poquito más de
> sofisticación, podría interceptar todas las conversaciones
> telefónicas.”
>
> La lista podría seguir, pero creo que es más que suficiente. En todo
> caso, todo lo que uno sospecha que podría pasar cuando usa una
> computadora personal, un teléfono celular o cualquier aparato
> equivalente... pasa. O en todo caso, puede pasar. Basta que alguien
> (un hacker) quiera buscar el costado vulnerable que uno deja en forma
> totalmente inconsciente para que lo encuentre.
>
> No quiero decir con esto que toda transacción comercial o financiera
> esté siendo violada, ni que todas los operaciones con cajeros
> automáticos o compras con tarjetas de crédito lo sean, o que cada vez
> que uno usa una laptop o computadora está siendo observado. No. Sólo
> quiero decir que hay un grupo de personas que tiene acceso a muchas
> operaciones cotidianas a las que el ciudadano común, como usted y como
> yo, no les prestamos atención.
>
> Hay sistemas de seguridad que funcionan bien, pero hay que usarlos.
> Sobre todo, si uno cree que le importa conservar su privacidad. De
> todas formas, uno ha venido dejando señales y rastros de muchas otras
> formas sin haberlo advertido en forma consciente. Si alguien quisiera,
> podría llevar un registro de todas sus conversaciones telefónicas, los
> números a los que usted llamó, desde qué teléfonos los hizo,
> descubriendo además desde dónde los hizo, cuántos minutos habló, etc.
> Puede descubrir también quiénes lo llamaron y desde dónde, y la
> duración de las llamadas. Pero también, si le interesara, una persona
> podría saber todo lo que usted consumió y pagó con su tarjeta de
> crédito, a qué restaurants concurrió, cuánto pagó, qué libros compró,
> qué películas vio, cuánto pagó de luz, de gas, qué revistas lee, qué
> diarios lee, qué auto usa, cada cuánto cambia su auto, etc. La lista
> de huellas que hemos dejado es imposible de borrar ahora.
>
> Tuve una charla con Holman de más de una hora. Le pregunté ¿qué es lo
> que no puede hacer un hacker? Me respondió con total convicción:
> “Nada. Si yo tengo las herramientas, el dinero y el tiempo, no hay
> nada que sea inviolable. Lo que la gente tiene que hacer es no repetir
> los passwords y cambiarlos con mucha frecuencia, no creer en la
> seguridad de las páginas web”.
>
> Y siguió: “Pero no hay que volverse paranoico. ¿Por qué habría alguien
> de seguir a algún o algunos individuos? En principio, los objetivos
> son otros. Todos los programadores usan para escribir software los
> mismos ladrillos, como si fueran los bloquecitos de Lego [5]. Si
> alguno de nosotros descubre una hendija para acceder a una de las
> construcciones, la va a usar cada vez que aparezca en cualquier otro
> emprendimiento. Y la variedad no es tan grande: sólo hay tres sistemas
> operativos que usa la abrumadora mayoría de las personas: las
> diferentes variantes de Windows, los OS X (que usan las Mac) o Lynux.
> Pero le insisto: yo no quiero decir que esto es lo que yo hago, digo
> que esto es lo que se puede hacer. Pero para poder hacerlo, hay que
> querer... y tener los recursos para hacerlo”.
>
> Me dio después algunas respuestas a lo que intuyo es su preocupación,
> porque es la mía: no pensar que porque uno está conectado vía ethernet
> está más protegido que si usa una conexión wi-fi. No creer que porque
> la información que circula aparece encriptada, eso la hace inviolable.
> Es más segura, pero siempre es violable, si hay alguien a quien le
> interesa interceptarla.
>
> Pablos me explicó después cómo puede intervenir la conexión bluetooth
> entre un teléfono celular y un audífono inalámbrico, probando con
> ¡10.714.295 (más de diez millones) de PINS (o códigos de seguridad)
> por segundo! Otra vez, en seis segundos la conexión ha sido
> “crackeada”. Y por lo tanto, todo lo que funcione con tecnología
> bluetooth puede ser “intervenido” de la misma forma.
>
> Holman me habló de la posibilidad de detectar los pasaportes (que
> ahora tienen un chip incorporado), o los mensajes de texto que son
> enviados entre teléfonos o computadoras o lo que fuere.
>
> A esta altura, ya me había convencido. No necesitó más ejemplos.
>
> Para terminar: Holman se encargó sistemáticamente de aclarar que no se
> trataba de que él (o un grupo cualquiera de hackers) estuviera
> haciendo ninguna de las actividades que él describía. Pero lo que sí
> quería enfatizar es que es posible. Después, hacerlo o no hacerlo, es
> otra historia.
>
> El mundo de los hackers es fascinante. La capacidad creativa que
> tienen es notable y ciertamente no convencional. Dos ex alumnos míos
> penetraron en una de las computadoras de la NASA. Dejaron un mensaje:
> “No queremos hacer ningún daño, sólo mostrarles la vulnerabilidad de
> los sistemas de seguridad que usan”. ¿Cuál fue la respuesta de la
> NASA? Los convocó a Estados Unidos y los contrató. Ahora ellos forman
> parte del grupo de “defensa” de las computadoras que usan los
> norteamericanos y trabajan desde la Argentina. Y lo mismo sucede con
> muchísimas grandes empresas que contratan hackers para que los ayuden.
> Como dice Holman: “Lo que sucede en la mente de un hacker es lo que
> hace falta para poder inventar y descubrir nuevas posibilidades”.
>
> Moraleja: si usted estaba preocupado por las potenciales invasiones a
> su privacidad, hace bien. Protéjase entonces. Use diferentes
> passwords. Cámbielos con frecuencia. Si necesita hacer transacciones
> importantes, hágalas con gente que entienda..., incluso si tiene que
> contratar hackers para que lo protejan, hágalo. Pero no tiene sentido
> volverse paranoico.
>
> Una frase última de Pablos me dejó pensando: “Si a usted lo persigue
> un oso, su preocupación no debería ser poder correr más rápido que el
> oso. Le alcanza con correr más rápido que sus amigos”. Traducción: los
> que buscan vulnerar los sistemas de seguridad tienen peces más grandes
> para freír que usted. Puede que su turno no llegue nunca, pero no se
> crea invulnerable.
> Notas:
>
> (1) Hacker es la palabra inglesa que sirve para describir a quienes se
> especializan en acceder a los códigos de seguridad de las
> computadoras, acceden a ellas afectando la privacidad que
> supuestamente cada uno de nosotros cree que tiene. Algunos de ellos,
> quizás la mayoría, pero es difícil saberlo, intentan socializar el
> software, de manera tal que nadie pueda arrogarse la propiedad
> intelectual de algo que se escriba para ser usado en una computadora
> personal. Para Holman, un hacker es aquel que intenta descubrir todo
> lo que es posible hacer con un objeto que usa tecnología digital.
>
> (2) Si bien la palabra de Holman aparece entre comillas, no se trata
> de una versión textual de sus dichos porque yo no tenía grabador ni
> tampoco hay hasta acá una filmación accesible. Pero la esencia de lo
> que dijo es lo que me importa reproducir en el texto.
>
> (3) Se refiere a las nuevas tarjetas de crédito que tienen un chip
> incluido y usan la tecnología RFID que permite que usted haga una
> compra usando la tarjeta sin necesidad de firmar: basta con que un
> escaner lea su información “encriptada” y que la transmita por
> radiofrecuencia.
>
> (4) Holman hablaba de los Blackberry o Android o Iphones, etc.
> Cualquier teléfono celular que funcione como un GPS (Global Position
> System).
>
> (5) LEGO es una marca registrada de los bloquecitos o ladrillos que
> los niños (o no tanto) usan para construir desde casas hasta aviones,
> autos, tractores, etc. En mi época se llamaba Mecano. Ahora son
> bloquecitos LEGO.
>
> http://www.pagina12.com.ar/imprimir/diario/sociedad/3-156854-2010-11-14.htm
> l
interesante el pie de pagina que dice:
Sitio desarrollado con software libre GNU/Linux. (y es pagina 12)
best
juan
--
Fingerprint = EBFC CDE9 E57C 3EAD 65B1 2A59 5364 48C8 EACF 7357
Public key = 0xEACF7357 at http://pgp.mit.edu
------------ prxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre : no disponible
Tipo : application/pgp-signature
Tamaño : 198 bytes
Descripción: This is a digitally signed message part.
Url : https://lists.ourproject.org/pipermail/solar-general/attachments/20101115/297c92be/attachment.pgp
Ms informacin sobre la lista de distribucin Solar-general