Por Mercè Molist
[Publicado en la revista @rroba]
Adam Laurie anda preocupado cuando llega a nuestra cita. Ese británico, que rompe todos los códigos que se le ponen por delante, sean tarjetas de crédito, mandos a distancia o sistemas Bluetooth.
Ese hacker con mayúsculas, que se distrae en los hoteles de medio mundo abriendo cajas fuertes. Ese cuarentón anda perdido porque su mujer le ha pedido que, ya que está en Sevilla, le compre un traje de flamenca.
-Llegas tarde.
-Sorry. Estaba copiando unas tarjetas con chips RFID para unos
chicos, esas que la industria dice que es imposible clonar. Una era
para entrar en su oficina y la otra, para la máquina de café.
-Eres experto en hackear lo que se te ponga por delante. ¿Sigues
alguna pauta común?
-Sí: todo lo que afecte al consumidor, pensando en mi propia
seguridad y mi dinero. Hoteles, pasaportes, puertas, garajes,
tarjetas de crédito, todo lo que consumimos, que lleva tecnología y
no controlamos, lo que hace que pueda ser peligroso para nosotros.
-¿Cómo te ganas la vida?
-Investigo. Si una compañía está interesada en seguridad, me
contrata. Fundé una empresa en Gran Bretaña de alojamiento seguro,
pero ya no estoy en ella. La mayor parte del tiempo doy conferencias
o cursos.
-O juegas.
-Sí, tengo tiempo para hacerlo cuando viajo. Aprovecho las muchas
horas muertas para investigar.
-Tú último hack conocido ha sido demostrar que es posible leer a
distancia y clonar los nuevos pasaportes biométricos de Gran
Bretaña. ¿Cómo lo hiciste? Me han contado que te dieron el pasaporte
dentro de un sobre y no veías nada...
-La clave está hecha de 3 elementos: el número de pasaporte, su
fecha de expiración y la fecha de nacimiento del propietario. En el
sobre, tenía el nombre y dirección de la persona. Con estos datos
pude buscar en una agencia de "credit checking" y conocer su fecha
de nacimiento.
-¿Y la de expiración?
-El sello del sobre me dió la fecha aproximada de expedición del
pasaporte, que era nuevo, y por tanto pude calcular cuándo expiraba.
-¿Y el número de pasaporte?
-Es secuencial, sólo tenía que buscar entre diversos números, dentro
de un rango. Era algo difícil pero, cuando tuve la fecha de
expedición, se redujo a unos pocos números. Fácil.
-¿A qué distancia puedes leer el pasaporte?
-Con mi lector, un metro. Con el de la policía, 10 metros. Se puede
interceptar, aunque vaya cifrado, no es difícil descifrarlo si
conoces la clave.
-¿Y ataques de man-in-the-middle?
-Sí. Con tu lector, simulas ser la tarjeta real, lees la del otro y
le impersonas.
-Parece tan fácil cuando lo explicas...
-Este es el problema, que es muy fácil. Y es por eso que me
preocupan estas cosas, porque parece que la tecnología es infalible
y no lo es.
-¿Cuál es la solución para los pasaportes?
-No darles números secuenciales.
-¿No es necesario cifrado robusto ni nada?
-No, sólo cambiar la forma como hacen las claves. Muy simple.
-¿Te han dicho que lo cambiarán?
-A mi no me dicen nada directamente. Nos comunicamos a través de los
periódicos.
-Es triste.
-Si. Y estúpido, porque podrían arreglarlo y no lo hacen.
-¿Los gobiernos no saben usar la tecnología?
-A veces parecen estúpidos. Por ejemplo, el pasaporte británico
expira a los 10 años, pero el chip expira a los 2. Es estúpido.
Alguien tomó la decisión e implementaron este sistema. No entiendo
por qué no se toman la tecnología seriamente.
-Alguna razón habrá.
-El problema es que muchas de estas cosas las diseña gente que no
vive en el mundo real, también en el caso de la industria. Grupos
que hablan sobre estándares, protocolos y no piensan que están
diseñando algo que debe ser seguro. No piensan que alguien puede
romperlo. Creen que son infalibles y se gastan mucho dinero en cosas
equivocadas que, después, no quieren admitir que lo son ni tampoco
cambiarlas. Sería mejor descubrir los agujeros mientras lo están
desarrollando y no después, cuando ya está en la calle.
-Tus últimos juegos con RFID tienen un punto en común, una poderosa
herramienta que has creado: RFIDiot.
-La escribí cuando empecé a interesarme por el RFID y ví que no
había mucho software disponible en el dominio público para escribir
en estos dispositivos. Nació de la necesidad, porque no había nada,
así que escribí el mío para hacer todo lo que necesitaba: generar
claves, leer, escribir, estudiar las partes internas, qué hace el
chip y sacar buena información, como el número identificador.
-Un todo en uno :)
-De esa forma descubrí que están diciendo al público una cosa y
están haciendo otra. Por ejemplo, que los chips RFID no se pueden
clonar, cuando puedes leer la información que contienen,
reprogramarlos y también clonarlos, pero ellos aseguran que no. La
industria tiene dos caras: lo que da a la industria y lo que da al
público. Y creo que el público tiene derecho a saberlo.
-No te gusta RFID o sólo el RFID inseguro?
-El RFID inseguro. Esta tecnología es una buena idea, si se
implementa bien, pero no lo están haciendo: RFID te da un número
único y con eso ya te autentican. Es como si, para sacar dinero,
sólo fuese necesario que el cajero leyese el número de la tarjeta y
ya está, sin poner el PIN. RFID necesita algo más para decir que
eres tú, no sólo un número identificador. Este es un ejemplo de
implementación incorrecta.
-Vamos atrás en el tiempo: tú escribiste el primer CD Ripper. ¿Te
consideras responsable en parte de las guerras del copyright que
estamos viviendo?
-No. Nació de una discusión sobre si era o no posible copiar CDs y
pensé que era capaz de hacerlo. No creo que copiar un CD sea algo
malo. Si lo compro, tengo derecho a usarlo como quiera y, si quiero
hacer una copia, puedo hacerla, sea para mí o para un amigo. La
culpa no es del software sino de la moral de quienes lo usan.
-La información quiere ser libre.
-Efectivamente.
-¿Trabajas solo, como hacker?
-Normalmente, pero la comunidad hacker es fuerte y siempre ayuda.
Cuando tengo un problema interesante, a veces lo discuto con otros
hackers que pueden darme soluciones. Pero normalmente trabajo solo,
no me gusta molestar a la gente con preguntas estúpidas, prefiero
entenderlo solo. La mejor forma de entender algo es romperlo.
-¿Qué tanto por cierto de lo que sabes sobre seguridad das a conocer?
-Todo. Creo en el "full disclosure", es por eso que hago charlas y
explico a la gente cómo hackear el sistema de televisión de los
hoteles y cosas así. Lo hago porque quiero que lo arreglen y,
también, porque si doy información esta viene después a mi.
-Que bonito :)
-Si comparto información, alguien viene o me manda un mensaje y dice
que él puede hacer otra cosa relacionada y aprendemos juntos. La
gente tiene derechos a saber.
-Pero esto incluye a los chicos malos, que están usando el
conocimiento hacker para sus intereses.
-Sí, pero el conocimiento también es necesario para solucionar el
problema. Si hay un agujero en tu banco y yo soy un chico malo,
sacaré dinero de tu cuenta sin que nadie lo sepa, a lo mejor incluso
se lo contaré o venderé la información a otros chicos malos. Si soy
un buen chico y descubro este problema, puedo ir al banco y decirles
que deberían arreglarlo. Pueden arreglarlo o no. Si no lo hacen, el
próximo paso será hacérselo saber al público, porque no sólo deben
saberlo el banco, los chicos malos y yo. Todo el mundo necesita
defenderse.
-Cada vez hay más actividad criminal relacionada con las tecnologías
y cada vez más compleja. Internet se está llenando de basura. Ya no
chequeo mi email, ahora chequeo mi spam.
-Si, todo el mundo tiene el mismo problema. El spam es una parte
aislada del problema, porque es muy difícil manejarlo, hay mucha
gente mandando spam y es difícil separarlo del correo legítimo. Creo
que, a largo plazo, el spam morirá porque no tendrá efecto.
-¿Cómo?
-A medida que el público se eduque, entienda qué es y cómo funciona,
que no hay que responderlo, desaparecerá. Ahora tenemos una base de
público que es ignorante y responde a estos mensajes basura. Cuando
la gente pare de comprar Viagra o enviar dinero a historias
fraudulentas, desaparecerá.
-¿Y el resto de actividad criminal?
-El problema en este momento son los gobiernos, que no han resuelto
a qué nivel deben luchar contra esto.
-¿Hablas de hacer más leyes?
-No. Necesitamos que las leyes que ya existen se refuercen y
necesitamos investigaciones para detectar los crímenes. Esto no se
refiere sólo a Internet sino a la alta tecnología en general. Hablo
de tarjetas de crédito, alguien me la roba, la usa, compra en
tiendas de gasolineras, va a diferentes sitios a hacer lo mismo,
acaba robando 400 o 500 dólares y cuando lo denuncio a la policía,
dicen que no es un valor suficiente para investigarlo. Pero esta
misma banda tiene otras tarjetas robadas, 10 al día o 30, y están
robando miles de dólares. Nadie lo investiga porque cada transacción
individual es de poco dinero para que se abra una investigación
seria. Eso mismo pasa en Internet. Hay muchas bandas organizadas que
actúan a este nivel, de pequeñas transacciones, pero si miras la
pintura global es muy diferente y están robando millones.
-Los medios hablamos cada vez más de delitos en Internet. ¿Nos
estamos pasando o nos quedamos cortos?
-Creo que Internet está llena de criminales. La prueba es que si
conectas un ordenador a la red sin protección se infectará en
minutos, en cualquier lugar del mundo. Pero esto pasa también en la
calle: si dejas la puerta de tu casa abierta, es posible que entre
alguien. La diferencia es que la gente que se hace responsable de tu
seguridad en Internet debería tomárselo en serio y no hacer
productos inseguros, ni nosotros permitirlo. La gente que está en
Internet no tiene porqué ser experta en seguridad, así como no
necesito ser un experto en seguridad para usar un cajero automático.
-Confiamos en tecnologías que parecen seguras pero no lo son.
Vivimos en una carrera de seguridad/inseguridad: sale un producto,
alguien lo rompe, alguien lo arregla, sale otro.
-Podemos reducir esta carrera con un mejor compromiso de la
comunidad de seguridad y del mercado. El problema es que la
seguridad es lo último que miran. En los últimos 30 años, ha habido
muchos proyectos de grandes compañías que siempre acaban igual: nos
preocuparemos de la seguridad más tarde, si es que sale algún
problema. Lo más importante para ellos es lanzar el producto al
mercado, ganar dinero y después, si acaso, se preocuparán por la
seguridad. No tienen interés en ser seguros, no es su problema.
-¿No?
-Si alguien roba una tarjeta de crédito, el banco lo paga y ya está.
No les importa porque ganan mucho dinero con el servicio. O la
industria de la telefonía: hay tarjetas clonadas pero les parece
inútil perseguirlo porque, al fin y al cabo, sólo están usando su
red, no pierden nada y siguen haciendo mucho dinero. No les importa.
Sólo les importaría si empezasen a perder dinero.
-Has estado en la organización de la DefCon, la Black Hat.. ¿Cómo
ves a la comunidad hacker?
-Son buenos chicos. La DefCon es un encuentro en terreno neutral, la
gente puede intercambiar información: los vendedores de programas,
agencias del gobierno, empresas de seguridad, buenos chicos y
también malos. Nadie debe quedar excluido porque lo importante es
compartir cuánto más conocimiento mejor, sin criminalizar a nadie o
decir estos son buenos y estos no. De lo contrario, salen las leyes
que salen.
-¿Qué leyes?
-Basadas en las ideas de la industria y en favorecerla. La industria
no quiere problemas, por eso se hacen leyes contra la ingeniería
inversa, la revelación de información...
-...las herramientas de hacking, en Alemania y España.
-Y de esta forma también convierten en ilegales las herramientas
para la investigación.
-Volviendo a la comunidad hacker: ¿Dónde se fueron los viejos
hackers auténticos como tú?
-No lo sé. Creo que el problema es que el hecho de que la
investigación legítima sea accesible a los chicos malos, sumado a
las nuevas leyes, ha provocado que la comunidad se haga más
"underground". Esto nos hace más difícil operar y existir como
comunidad, porque la gente tiene miedo de exponerse demasiado y ser
detenidos porque publicaron algo, o que esto sea utilizado por
alguien con fines criminales.
-Sí, me he dado cuenta de que a la gente le gusta cada vez menos que
les llamen hackers públicamente o en los medios, les da mala imagen,
dicen.
-Y esto automáticamente será perjudicial para el consumidor y la
industria.
-Pero los hackers nunca morirán.
-Quizá estarán todos en prisión, pero no morirán.
Mercè Molist
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
Fuente: [Publicado en la revista @rroba]
http://ww2.grn.es/merce/2007/adamlauriefull.html
