19/07/07 11:41:59
ADAM LAURIE: PAPÁ HACKER
"LA MEJOR FORMA DE ENTENDER ALGO ES ROMPERLO"
Adam Laurie anda preocupado cuando llega a nuestra cita. Ese
británico, que rompe todos los códigos que se le ponen
por delante, sean tarjetas de crédito, mandos a distancia o
sistemas Bluetooth. Ese hacker con mayúsculas, que se distrae en
los hoteles de medio mundo abriendo cajas fuertes. Ese cuarentón
anda perdido porque su mujer le ha pedido que, ya que está en
Sevilla, le compre un traje de flamenca.
-Llegas tarde.
-Sorry. Estaba copiando unas tarjetas con chips RFID para unos chicos,
esas que la industria dice que es imposible clonar. Una era para entrar
en su oficina y la otra, para la máquina de café.
-Eres experto en hackear lo que se te ponga por delante. ¿Sigues alguna pauta común?
-Sí: todo lo que afecte al consumidor, pensando en mi propia
seguridad y mi dinero. Hoteles, pasaportes, puertas, garajes, tarjetas
de crédito, todo lo que consumimos, que lleva tecnología
y no controlamos, lo que hace que pueda ser peligroso para nosotros.
-¿Cómo te ganas la vida?
-Investigo. Si una compañía está interesada en
seguridad, me contrata. Fundé una empresa en Gran Bretaña
de alojamiento seguro, pero ya no estoy en ella. La mayor parte del
tiempo doy conferencias o cursos.
-O juegas.
-Sí, tengo tiempo para hacerlo cuando viajo. Aprovecho las muchas horas muertas para investigar.
-Tú último hack conocido ha sido demostrar que es posible
leer a distancia y clonar los nuevos pasaportes biométricos de
Gran Bretaña. ¿Cómo lo hiciste? Me han contado que
te dieron el pasaporte dentro de un sobre y no veías nada...
-La clave está hecha de 3 elementos: el número de
pasaporte, su fecha de expiración y la fecha de nacimiento del
propietario. En el sobre, tenía el nombre y dirección de
la persona. Con estos datos pude buscar en una agencia de "credit
checking" y conocer su fecha de nacimiento.
-¿Y la de expiración?
-El sello del sobre me dió la fecha aproximada de
expedición del pasaporte, que era nuevo, y por tanto pude
calcular cuándo expiraba.
-¿Y el número de pasaporte?
-Es secuencial, sólo tenía que buscar entre diversos
números, dentro de un rango. Era algo difícil pero,
cuando tuve la fecha de expedición, se redujo a unos pocos
números. Fácil.
-¿A qué distancia puedes leer el pasaporte?
-Con mi lector, un metro. Con el de la policía, 10 metros. Se
puede interceptar, aunque vaya cifrado, no es difícil
descifrarlo si conoces la clave.
-¿Y ataques de man-in-the-middle?
-Sí. Con tu lector, simulas ser la tarjeta real, lees la del otro y le impersonas.
-Parece tan fácil cuando lo explicas...
-Este es el problema, que es muy fácil. Y es por eso que me
preocupan estas cosas, porque parece que la tecnología es
infalible y no lo es.
-¿Cuál es la solución para los pasaportes?
-No darles números secuenciales.
-¿No es necesario cifrado robusto ni nada?
-No, sólo cambiar la forma como hacen las claves. Muy simple.
-¿Te han dicho que lo cambiarán?
-A mi no me dicen nada directamente. Nos comunicamos a través de los periódicos.
-Es triste.
-Si. Y estúpido, porque podrían arreglarlo y no lo hacen.
-¿Los gobiernos no saben usar la tecnología?
-A veces parecen estúpidos. Por ejemplo, el pasaporte
británico expira a los 10 años, pero el chip expira a los
2. Es estúpido. Alguien tomó la decisión e
implementaron este sistema. No entiendo por qué no se toman la
tecnología seriamente.
-Alguna razón habrá.
-El problema es que muchas de estas cosas las diseña gente que
no vive en el mundo real, también en el caso de la industria.
Grupos que hablan sobre estándares, protocolos y no piensan que
están diseñando algo que debe ser seguro. No piensan que
alguien puede romperlo. Creen que son infalibles y se gastan mucho
dinero en cosas equivocadas que, después, no quieren admitir que
lo son ni tampoco cambiarlas. Sería mejor descubrir los agujeros
mientras lo están desarrollando y no después, cuando ya
está en la calle.
-Tus últimos juegos con RFID tienen un punto en común, una poderosa herramienta que has creado: RFIDiot.
-La escribí cuando empecé a interesarme por el RFID y
ví que no había mucho software disponible en el dominio
público para escribir en estos dispositivos. Nació de la
necesidad, porque no había nada, así que escribí
el mío para hacer todo lo que necesitaba: generar claves, leer,
escribir, estudiar las partes internas, qué hace el chip y sacar
buena información, como el número identificador.
-Un todo en uno :)
-De esa forma descubrí que están diciendo al
público una cosa y están haciendo otra. Por ejemplo, que
los chips RFID no se pueden clonar, cuando puedes leer la
información que contienen, reprogramarlos y también
clonarlos, pero ellos aseguran que no. La industria tiene dos caras: lo
que da a la industria y lo que da al público. Y creo que el
público tiene derecho a saberlo.
-No te gusta RFID o sólo el RFID inseguro?
-El RFID inseguro. Esta tecnología es una buena idea, si se
implementa bien, pero no lo están haciendo: RFID te da un
número único y con eso ya te autentican. Es como si, para
sacar dinero, sólo fuese necesario que el cajero leyese el
número de la tarjeta y ya está, sin poner el PIN. RFID
necesita algo más para decir que eres tú, no sólo
un número identificador. Este es un ejemplo de
implementación incorrecta.
-Vamos atrás en el tiempo: tú escribiste el primer CD
Ripper. ¿Te consideras responsable en parte de las guerras del
copyright que estamos viviendo?
-No. Nació de una discusión sobre si era o no posible
copiar CDs y pensé que era capaz de hacerlo. No creo que copiar
un CD sea algo malo. Si lo compro, tengo derecho a usarlo como quiera
y, si quiero hacer una copia, puedo hacerla, sea para mí o para
un amigo. La culpa no es del software sino de la moral de quienes lo
usan.
-La información quiere ser libre.
-Efectivamente.
-¿Trabajas solo, como hacker?
-Normalmente, pero la comunidad hacker es fuerte y siempre ayuda.
Cuando tengo un problema interesante, a veces lo discuto con otros
hackers que pueden darme soluciones. Pero normalmente trabajo solo, no
me gusta molestar a la gente con preguntas estúpidas, prefiero
entenderlo solo. La mejor forma de entender algo es romperlo.
-¿Qué tanto por cierto de lo que sabes sobre seguridad das a conocer?
-Todo. Creo en el "full disclosure", es por eso que hago charlas y
explico a la gente cómo hackear el sistema de televisión
de los hoteles y cosas así. Lo hago porque quiero que lo
arreglen y, también, porque si doy información esta viene
después a mi.
-Que bonito :)
-Si comparto información, alguien viene o me manda un mensaje y
dice que él puede hacer otra cosa relacionada y aprendemos
juntos. La gente tiene derechos a saber.
-Pero esto incluye a los chicos malos, que están usando el conocimiento hacker para sus intereses.
-Sí, pero el conocimiento también es necesario para
solucionar el problema. Si hay un agujero en tu banco y yo soy un chico
malo, sacaré dinero de tu cuenta sin que nadie lo sepa, a lo
mejor incluso se lo contaré o venderé la
información a otros chicos malos. Si soy un buen chico y
descubro este problema, puedo ir al banco y decirles que
deberían arreglarlo. Pueden arreglarlo o no. Si no lo hacen, el
próximo paso será hacérselo saber al
público, porque no sólo deben saberlo el banco, los
chicos malos y yo. Todo el mundo necesita defenderse.
-Cada vez hay más actividad criminal relacionada con las
tecnologías y cada vez más compleja. Internet se
está llenando de basura. Ya no chequeo mi email, ahora chequeo
mi spam.
-Si, todo el mundo tiene el mismo problema. El spam es una parte
aislada del problema, porque es muy difícil manejarlo, hay mucha
gente mandando spam y es difícil separarlo del correo
legítimo. Creo que, a largo plazo, el spam morirá porque
no tendrá efecto.
-¿Cómo?
-A medida que el público se eduque, entienda qué es y
cómo funciona, que no hay que responderlo, desaparecerá.
Ahora tenemos una base de público que es ignorante y responde a
estos mensajes basura. Cuando la gente pare de comprar Viagra o enviar
dinero a historias fraudulentas, desaparecerá.
-¿Y el resto de actividad criminal?
-El problema en este momento son los gobiernos, que no han resuelto a qué nivel deben luchar contra esto.
-¿Hablas de hacer más leyes?
-No. Necesitamos que las leyes que ya existen se refuercen y
necesitamos investigaciones para detectar los crímenes. Esto no
se refiere sólo a Internet sino a la alta tecnología en
general. Hablo de tarjetas de crédito, alguien me la roba, la
usa, compra en tiendas de gasolineras, va a diferentes sitios a hacer
lo mismo, acaba robando 400 o 500 dólares y cuando lo denuncio a
la policía, dicen que no es un valor suficiente para
investigarlo. Pero esta misma banda tiene otras tarjetas robadas, 10 al
día o 30, y están robando miles de dólares. Nadie
lo investiga porque cada transacción individual es de poco
dinero para que se abra una investigación seria. Eso mismo pasa
en Internet. Hay muchas bandas organizadas que actúan a este
nivel, de pequeñas transacciones, pero si miras la pintura
global es muy diferente y están robando millones.
-Los medios hablamos cada vez más de delitos en Internet. ¿Nos estamos pasando o nos quedamos cortos?
-Creo que Internet está llena de criminales. La prueba es que si
conectas un ordenador a la red sin protección se
infectará en minutos, en cualquier lugar del mundo. Pero esto
pasa también en la calle: si dejas la puerta de tu casa abierta,
es posible que entre alguien. La diferencia es que la gente que se hace
responsable de tu seguridad en Internet debería tomárselo
en serio y no hacer productos inseguros, ni nosotros permitirlo. La
gente que está en Internet no tiene porqué ser experta en
seguridad, así como no necesito ser un experto en seguridad para
usar un cajero automático.
-Confiamos en tecnologías que parecen seguras pero no lo son.
Vivimos en una carrera de seguridad/inseguridad: sale un producto,
alguien lo rompe, alguien lo arregla, sale otro.
-Podemos reducir esta carrera con un mejor compromiso de la comunidad
de seguridad y del mercado. El problema es que la seguridad es lo
último que miran. En los últimos 30 años, ha
habido muchos proyectos de grandes compañías que siempre
acaban igual: nos preocuparemos de la seguridad más tarde, si es
que sale algún problema. Lo más importante para ellos es
lanzar el producto al mercado, ganar dinero y después, si acaso,
se preocuparán por la seguridad. No tienen interés en ser
seguros, no es su problema.
-¿No?
-Si alguien roba una tarjeta de crédito, el banco lo paga y ya
está. No les importa porque ganan mucho dinero con el servicio.
O la industria de la telefonía: hay tarjetas clonadas pero les
parece inútil perseguirlo porque, al fin y al cabo, sólo
están usando su red, no pierden nada y siguen haciendo mucho
dinero. No les importa. Sólo les importaría si empezasen
a perder dinero.
-Has estado en la organización de la DefCon, la Black Hat.. ¿Cómo ves a la comunidad hacker?
-Son buenos chicos. La DefCon es un encuentro en terreno neutral, la
gente puede intercambiar información: los vendedores de
programas, agencias del gobierno, empresas de seguridad, buenos chicos
y también malos. Nadie debe quedar excluido porque lo importante
es compartir cuánto más conocimiento mejor, sin
criminalizar a nadie o decir estos son buenos y estos no. De lo
contrario, salen las leyes que salen.
-¿Qué leyes?
-Basadas en las ideas de la industria y en favorecerla. La industria no
quiere problemas, por eso se hacen leyes contra la ingeniería
inversa, la revelación de información...
-...las herramientas de hacking, en Alemania y España.
-Y de esta forma también convierten en ilegales las herramientas para la investigación.
-Volviendo a la comunidad hacker: ¿Dónde se fueron los viejos hackers auténticos como tú?
-No lo sé. Creo que el problema es que el hecho de que la
investigación legítima sea accesible a los chicos malos,
sumado a las nuevas leyes, ha provocado que la comunidad se haga
más "underground". Esto nos hace más difícil
operar y existir como comunidad, porque la gente tiene miedo de
exponerse demasiado y ser detenidos porque publicaron algo, o que esto
sea utilizado por alguien con fines criminales.
-Sí, me he dado cuenta de que a la gente le gusta cada vez menos
que les llamen hackers públicamente o en los medios, les da mala
imagen, dicen.
-Y esto automáticamente será perjudicial para el consumidor y la industria.
-Pero los hackers nunca morirán.
-Quizá estarán todos en prisión, pero no morirán.
Mercè Molist
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provide this
notice is preserved.
[Publicado en la revista @rroba]
<<