06/15/09

RAOUL CHIESA, ASESOR DE LA ONU:

"LA SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"


Mercè Molist
Raoul Chiesa es un ex-hacker italiano que trabaja como asesor de las Naciones Unidas desde hace cinco años. Es el jefe técnico en todo lo que concierne a ciberseguridad, dentro del Instituto Interregional de Investigación sobre Crimen y Justicia (UNICRI). Su cometido es investigar la seguridad de las infraestructuras nacionales críticas en todo el mundo y, según dice, pocas llegan al aprobado. Avisa que sus opiniones son a título personal y no del UNICRI.

-¿Quién eres tú?

-Un ciudadano de italia, nacido el 3 de julio de 1973. Vivo en Torino. Crecí rodeado de montañas, en una familia de clase media. Mi padre lleva una fábrica de automatización, por lo que crecí entre máquinas, aceite y muchas horas de trabajo. Creo que esta ha sido una de las razones que me llevó a alejarme de las cosas mecánicas y dedicarme a los ordenadores.


-¿A qué edad empezaste a hackear?

-A los 15 empecé a estudiar informática en la escuela. Pero desde que tenía... diría que 9 o 10 años empecé a jugar con videojuegos. Cuando tenía 12, mis padres me compraron mi primer "ordenador personal", un Commodore VIC-20. Después de algunos meses jugando a videojuegos, MUY caros para una chiquillo, decidí intentar crackear sus protecciones. A los 13 años compré mi propio Commodore C-64 y un "adaptador telemático" (el módem del abuelo ;). Aquí empezó todo: BBS, llamadas internacionales, tarjetas para llamadas internacionales, blue-boxing... Así no tuve que pagar nunca más facturas exorbitantes a la compañía telefónica.

-¿Cómo recuerdas aquellos años?

-Sin duda, aquellos tiempos, entre mis 13 y 20 y pico años, fueron los mejores de mi vida. Bàsicamente, empecé a hackear a veces solo y a veces con amigos en línea, dependiendo del objetivo (el sistema operativo del ordenador objetivo), la hora del día o de la noche y así. A medida que pasaron los años, fuí prefiriendo hackear solo... Creo que es lo normal. Quiero decir: cuando eres un newbie no sabes mucho, no tienes el conocimiento necesario. Es por eso que practicar el hacking con amigos estaba bien para mi, ya que cada uno tenía el conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro completo. La escena hacker en aquellos años (1986-1995) era increíble. En primer lugar, no existía el concepto de "crimen": hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo sucedió en muchos países europeos. Por tanto, podías sentir la magia, aquella increible sensación gracias a la cual era capaz, desde mi pequeña habitación de adolescente, de chatear o hablar por voz con gente totalmente desconocida que vivían en el norte de Europa, en los Estados Unidos, en Australia... Era algo parecido a cuando yo era un niño pequeño y mi padre hablaba, a través de las ondas cortas, con otras personas apasionadas por la Banda Ciudadana. Era una sensación parecida.

-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de inflexión?

-Lo recuerdo perfectamente. Sucedió cuando pasé de las zonas de chat "estándar" a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec en Alemania, aquello eran auténticas "cuevas de hackers", en las que la gente pertenecía a la crema, a un grupo de élite. Y, de repente, me dí cuenta de que era parte de este mundo, que mi vida pertenecía a él. Aún hoy estoy en contacto con esa gente y algunos están entre mis mejores amigos. Crecimos juntos, algo nos une. Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que "los humanos no verán en sus vidas", aún tenemos secretos que guardamos... Es como una hermandad de sangre.

-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con eso?

-Básicamente conozo las redes X.25 tan bien porque no tenía otra salida. En aquellos años, la Internet no era accesible como lo es hoy: sólo unos pocos centros de investigación, unas pocas universidades y, por supuesto, el ejército norteamericano la usaban. Antes de la Internet de las organizaciones, tanto gubernamentales, institucionales como multinacionales, teníamos que depender de las redes mundiales X.25 para conectar los unos con los otros. Aquí fue donde empecé, ese era mi mundo. Posiblemente, esta es la razón de que, hoy, sea considerado uno de los 4 o 5 expertos mundiales que "conocen el percal" en este tema específico. Tener un acceso X.25 era también la única forma de poder hablar con mis amigos hackers, así como de "saltar" a Internet desde un ordenador "dual-homed" X.25/IPv4.

-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos, redes de satélites y más? Me parece algo muy difícil...

-En aquellos tiempos, eras realmente capaz de "encontrar" cualquier cosa en X.25, como pasa hoy con Internet. Era muy común encontrarte sistemas de bases de misiles, telecos, bancos, gobiernos. Y, sobre todo, todo era tan inseguro. La seguridad de la información era algo nuevo, los administradores de sistemas no sabían que adolescentes del otro lado del mundo podían estar allí acechando, esperando sus errores para hackear en sus sistemas. Sólo para que lo entiendas: a finales de los 80 yo había hackeado toda la red WAN interna de Telefónica y tenía el control total de todo el Sistema Nacional de Telecomunicaciones Español. Esto sucedió con casi todos los operadores de telecomunicaciones del mundo, en aquellos años, todos estábamos hackeando telecos porque era divertido, fácil y útil. Y, por supuesto, porque "los hackers aman las telecos" ;)

-¿Hoy es tan fácil hackear redes X.25?

-Bueno, si sabes cómo hacerlo, la respuesta es sí. Te cuento porqué: en el pasado, todos los hackers dependían de X.25. Hoy esta gente ya no hackea (la mayoría): se han pasado a la seguridad como un trabajo full-time, están en empresas de seguridad y ya no hackean, o simplemente están haciendo otras cosas. Hoy en día los hackers crecen con Internet y Google. No pueden hackear redes X.25 porque son otra cosa. Por tanto, desde este punto de vista la respuesta es que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo sé, mi empresa es una de las pocas en el mundo capaz de ofrecer tests de penetración basados en X.25.

-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de hacker?

-Solía hackear en unas 134 redes X.25 en todo el mundo, lo que significa más de 100 países. Nunca contabilicé los sistemas hackeados, simplemente porque serian cientos de miles. Recuerdo que, después de 1993, simplemente paré de anotar todos los sistemas que era capaz de hackear: eran demasiados, tenían 5 agendas y 10 blocs de notas llenos totalmente de direcciones X.25, nombres de usuario y contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo para escribir todas las notas que el tiempo que necesito para entrar en estos sistemas".

-En tu biografía oficial puede leerse: "Después de una serie de sensacionales interferencias, tanto en telecos como en otras instituciones militares, gubernamentales y financieras...". ¿Cuáles fueron esas sensacionales interferencias? ¿Qué hiciste?

-Oh.. bueno... Como he dicho, es imposible hacer una lista completa. Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint Communications..), hackeé en la red global del ejército norteamericano, bancos, bolsas de valores... La frase "sensacionales interferencias" es de la unidad especial que me detuvo años después. Los policías estaban muy impresionados por la cantidad de conocimiento que tenía en mi cabeza, por mi juventud y por el hecho de que un adolescente controlase las ¾ partes de todo el mundo IT y TLC de aquellos años.

-También en tu biografía oficial se dice: "Fue oficialmente reconocido como uno de los miembros de la escena hacker europea y norteamericana por autoridades internacionales en 1995". No entiendo: ¿qué autoridades internacionales te dicen si eres un hacker o no?

-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas autoridades internacionales que, de alguna forma, pueden "decir al mundo" que estás entre los top-one son dos: el FBI y la Interpol. Por tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir es que, en estos años, cuando tu eres un hacker europeo, ser perseguido por el FBI significa que no eres un "script-kiddie", sino que eres capaz de "cruzar las fronteras" de tu país, que estás haciendo realmente un montón de ruido, aunque seas cauto y paranoico.

-Te detuvieron en 1995. ¿Por qué?

-Entré en Bankitalia, la agencia espacial italiana, la ENEA (National Body for Alternative Energy) y otras 50 compañías y les dije que todo el sistema italiano no era seguro. Podría decirse que no les gustó mucho.

-¿Fuiste a la cárcel?

-No, nunca he estado en la cárcel, ni un solo día. Probablemente porque tanto los fiscales como los jueces se dieron cuenta de que yo era un adolescente muy curioso, bastante listo, que se aburría mucho en la escuela y descubrió el hacking como un estilo de vida. Como no había dañado los sistemas informáticos que había penetrado, y no había robado dinero, decidieron que, después de todo, era un buen chico. Además, fuí el primer caso hacker del país: los legisladores no sabían muy bien cómo manejar aquello, los abogados no tenían ni idea de qué les estaba hablando... De alguna forma, había sido un gran lío.

-¿Fue entonces cuando dejaste de hackear, por miedo, y te convertiste en un consultor de seguridad?

-No fue por miedo. Esto es algo que, típicamente, les pasa a dos categorías de hackers, cuando son pillados: los "script-kiddies" y los hackers éticos. Pero por diferentes razones. Los "script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente, les asusta el arresto, la policía y lo demás: es por eso que dejan sus actividades de hacking. Los hackers éticos simplemente crecen y entienden que, si siguen con el hacking, la próxima vez no será tan fácil como la primera. Por último y no menos importante, la historia es normalmente la misma: en todo el mundo viejos hackers saltan al mundo de la seguridad informática. Después de todo, este es nuestro mundo, conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por qué no?

-¿De verdad crees que alguien puede dejar de ser un hacker?

-No y sí. No porque eres un hacker dentro de tu alma: no es sólo tecnología, es la forma como ves las cosas, si crees o no lo que "ellos" te cuentan. Me gusta decir que puedes ser un hacker incluso sin saber cómo usar un PC, puedes ser un hacker de motores, de leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu pregunta también es un sí: ahora mismo tengo 35 años. Básicamente, si quisiera realizar ataques de hacking hoy en día probablemente sería un idiota. Crecí y evolucioné, igual que todos los seres humanos de este mundo. Lo que intento decirte es que es normal, cuando creces, parar de perder tu tiempo y de cometer errores: esto es exactamente lo que hice. Creo, después de todos esos años, que la detención fue, de alguna forma, una especie de suerte, que me permitió darme cuenta de lo que estaba haciendo, de lo que era capaz de hacer y de a qué riesgos me había expuesto.


-¿Cuál es tu trabajo como consultor de las Naciones Unidas?

-Empecé a trabajar con el Instituto Interregional de Investigación sobre Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco años. Soy el jefe técnico en todo lo que concierne al cibercrimen: llevamos diferentes proyectos, básicamente dedicados a investigación y desarrollo en diversas áreas, como formación en informática forense para fuerzas de la ley (usando software abierto), infraestructuras nacionales críticas, etc. Aquí hay más información: http://www.unicri.it/wwd/cyber_crime/index.php. El UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling Project" (http://hpp.recursiva.org)

-Cuáles son las infraestructuras peor defendidas?

-Si hablamos de países, siempre me ha sorprendido el alto nivel de inseguridad que puedes encontrar en países como Corea del Sur y Japón. Es increible que países tan "hi-tech" no sean capaces de manejar su seguridad informática. Si, por otro lado, hablamos de áreas económicas y no de países, las empresas de telecomunicaciones son las menos inseguras de todas. Ahora mismo, mientras te respondo, nos enteramos de que T-Mobile ha sido hackeada por enésima vez.

-Cuál es el estado del arte, en general, de la seguridad de las infraestructuras críticas? Cuáles son los más grandes agujeros de seguridad?

-No estamos hablando de agujeros sino de ignorancia. Estas infraestructuras y, en general, todo el mundo de la automatización industrial, ahora mismo está como estaban las tecnologías de la información hace diez años. Para ponerte un ejemplo, no usan antivirus... porque puede frenar la producción de los ordenadores. Al ser ordenadores industriales, si dejan de trabajar la empresa deja de ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta parar la cadena de producción de una empresa cementera, por ejemplo? Por lo tanto, las infraestructuras críticas y la automatización industrial básicamente adolecen de lo siguiente: no hay segmentación de la red, no hay antivirus, detectores de intrusos, registros, auditorías, test de seguridad y penetración, no hay parches ni actualizaciones (en serio), se usan sistemas operativos sin soporte, como Windows 98, la seguridad se enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan configuraciones por defecto, no se controlan los accesos remotos, no hay planes de recuperación ante desastres (o, si los tienen, son inútiles).

-Has estado testeando estos sistemas, supongo, para saberlo...

-Hace unas semanas estuvimos probando una Planta Nacional de Energía entera. La respuesta, entonces, es sí. Nos contratan para probar, en todo el mundo, infraestructuras críticas nacionales y lo estamos haciendo desde hace años. Yo pertenezco además a un grupo de investigación internacional, Cristal (http://cristal.recursiva.org) y estamos continuamente intercambiando experiencias y tendencias de seguridad con otros investigadores.

-Estamos realmente en grave riesgo? Tienes algunos ejemplos?

-Las malas noticias son que estos incidentes se están dando ya en sitios como servicios públicos de energía eléctrica, nuclear, gas natural, producción de petróleo y sistemas de transmisión; empresas de comunicaciones y tecnologías de la información, finanzas (banca, valores, inversiones), salud (hospitales, instalaciones de suministro de sangre, farmacéuticas), industria alimentaria, servicios del agua, transporte, seguridad (armas químicas, biológicas, radiológicas, nucleares, servicios de emergencia), gobiernos (incluídas sus redes de información) y la industria manufacturera.

-¿Tanto?

-Hay multitud de ejemplos. El primer inicidente que conocemos sucedió en 1982 en Siberia, cuando hubo una explosión de tres kilotones. El "software" que usaba una compañía petrolera tenía fallos y no soportó la presión, de forma que el petróleo se encendió y explotó. Otro triste indicente se dio el 10 de junio de 1999 en el Parque de las Cataratas Whatcom, en Estados Unidos: una tubería de acero de 16 pulgadas de diámetro, propiedad de la empresa Olympic Pipe Line Company, se rompió y liberó unos 237.000 galones de gasolina en un arroyo que fluyó a través de las cataratas hasta el parque Bellingham, en Washington. Una hora y media después de la ruptura, la gasolina se encendió y quemó unas 1,5 millas. Dos niños de diez años y un joven de 18 murieron a consecuencia del accidente. Hubo además ocho heridos y la planta de tratamiento de agua de la ciudad de Bellinghamis fue seriamente dañada. Se estimó que los daños ascendieron a 45 millones de dolares. Según el informe oficial, "si el sistema informático de control hubiese respondido a los comandos de los controladores de la compañía Olympics, se habría evitado el accidente".

-Es cierto que todas las redes militares y críticas están separadas de Internet, de forma que nadie pueda acceder a ellas?

-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que el ejército norteamericano en Irak se comunica con sus altos mandos en Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través de Voz IP! Así que, obviamente, las redes militares están unidas a Internet. No olvides que hablamos de entornos muy grandes: siempre se cometen errores, antes o después. Por supuesto no van a instalar sus bases de datos más críticas en la web, pero los atacantes siempre encontrarán otras rutas de ataque para conseguir acceso interno a estas redes y saltar de sistema en sistema, hasta encontrar lo que buscan.

-¿Lo mismo puede decirse para la OTAN?

-En la OTAN usan dos redes de datos diferentes: una "pública" y otra "clasificada". Pero conozco a militares que hacen tests de penetración en entornos militares, también de la OTAN, y la situación no es muy bonita. Los chinos dicen que han hackeado el ejército norteamericano y este lo admite oficialmente... ¿cómo podemos estar tranquilo ante estas cosas?

-Han aumentado los ataques a las infraestructuras criticas en los ultimos años?

-En el ejército, sí y exponencialmente. Hace ya años que el gobierno chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña, Alemania, Italia y otros. En mi opinión, quienes los realizan no son "black hats", si con este término queremos referirnos a alguien que está dentro de la comunidad hacker. Son soldados que conocen las actuales técnicas de hacking, pero no pertenecen ni han crecido en el mundo hacker.

-Hablando de tipos de hackers, tú participas en el "Hackers Profiling Project", que ha recogido un montón de estadísicas sobre los hackers. ¿Cuáles son las mas interesantes?

-La información que hemos recogido es realmente increible. Sobre todo en tres puntos: edades, sexo y distribución geográfica. En edades hemos visto que, en los últimos años, las edades en que los chicos empiezan a hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15 años, mientras que ahora algunos empiezan a los 8 y 9 años. Esto significa que, gracias a la difusión de Internet y la documentación y herramientas de hacking, los chiquillos entran antes en este mundo.

-Y en cuanto al sexo?

-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy estamos en el 6%, lo que significa mucho. Desde hace unos años estoy viendo cada vez más mujeres participar en eventos hacker y estoy seguro de que esta cifra crecerá en los próximos años.

-En cuanto a distribución geográfica?

-En los 80, los hacker vivían en ciudades. Esto era así simplemente porque no era fácil, en aquellos días, encontrar una tienda de informática, o una línea telefónica dedicada, o una línea digital en el campo y las ciudades eran la única solución. Hoy, Internet está en todas partes y permite a la gente de ciudades pequeñas y pueblos iniciar sus "carreras de hacker".

-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé que es la típica pregunta)

-Sí, pero aún así está bien formularla. Obviamente la escena hacker ha cambiado mucho. Hablamos de una evolución, de la pérdida de la vieja ética mientras se creaba otra y de la mezcla entre el crimen organizado y las actividades de hacking (la Rusian Business Network y las organizaciones de código malicioso de San Petersburgo y Kiev podrían darnos algunas lecciones).

-Qué tipos de hackers están aumentando y cuáles desapareciendo?

-Está claro que los malos chicos están aumentando, también el crimen organizado de bajo nivel de países como Rumanía, Ucraina y algunos de Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.

-¿Qué hay de los black hats que trabajan con los terroristas? ¿Existen realmente?

-El "ciberterrorismo" es una gran mentira, querida Merce. Primero, porque simplemente no hemos visto aún a un auténtico terrorista lanzar ataques IT. Por supuesto que muchos gobiernos sienten que el "ciberterrorismo" es una nueva tendencia, una nueva "palabra clave" para los próximos años, lo que significa que muchas instituciones gubernamentales gastarán billones de dólares en este tema (el presupuesto para 2010 del Departamento de Seguridad Interior de EEUU incluye 40 millones de dólares para la seguridad nacional en tecnologías de la información).

-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?

-En pocas palabras, los hackers éticos hacen investigación y siguen una política de divulgación total o responsable, no dañan los sistemas que hackean, no roban nada. Tienen "buen corazón" y su alma nunca hará nada "malo". Por supuesto estas normas han cambiado con los años, pero aún hoy los hackers éticos hacen sus propias investigaciones, comparten los resultados con todo el mundo y, básicamente, ayudan al mercado IT y a la comunidad mundial a elevar el nivel de seguridad de todo el mundo.

-Tú eres un defensor del "full disclosure". ¿Sin límites?

-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones en mi vida me ha sucedido que "1%". Esto pasa cuando las vulnerabilidades que encuentras y tienes en tus manos pueden impactar realmente en el mundo en el que vivimos. En estos casos, he optado por una no-divulgación total. Aún hoy, poseemos las vulnerabilidades y exploits que no hemos hecho públicos, ¡y siguen funcionando después de tantos años!

-En un mundo con cada vez más inseguridad, con todas esas botnets, virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué hemos fallado?

-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos fallado?, debería preguntarte. Las fuerzas del mal son más rápidas que nosotros. Los enemigos no son hackers, son una mezcla de criminales, ladrones y gente cualificada en IT. Están organizados como empresas de verdad, con flujos de dinero e información. Los expertos en IT pueden ganar algunas batallas, pero no toda la guerra. No solos. Necesitamos el apoyo de las empresas de IT, las fuerzas de la ley y el "underground" también. Y, como puedes imaginar, no es nada fácil.




Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.




<<