sábado, 22 de noviembre de 2008

CONFERENCIA DE HACKERS EN BUENOS AIRES 22-11-08



CONFERENCIA DE HACKERS EN BUENOS AIRES

Ultimas imágenes de la guerra digital

La reciente conferencia internacional de seguridad informática realizada en Buenos Aires, BA-Con, reunió a mentes brillantes y peligrosas, entre nerds, espías industriales, hackers y miembros de compañías recelosas. Encuentros como éste trazan un mapa del mundo virtual apasionante y desconocido para la mayoría de los usuarios de computadoras e Internet. Un mundo que también puede ser temible, que combina ciencia y espionaje, verdadero mercado de paranoia donde flotan la ciberguerra, el fraude en el voto electrónico y la posibilidad de controlar el hardware de un gasoducto para hacer explotar una ciudad.

Por Pola Oloixarac

Súbita meca de la elite hackeril, Buenos Aires nucleó a la crema de la seguridad informática en BA-Con, versión criolla de las conferencias de Japón, Europa y Canadá. Expertos de EE.UU., Francia, Finlandia y China arribaron a las costas rioplatenses y se alojaron en un hotel con vista a una calle totalmente obstruida por la macri-manía del asfaltado. ¿Y por qué Buenos Aires? “Aquí hay un talento excepcional para la seguridad informática”, explicó a Radar Window Snyder, la joven jerarca de Mozilla, compañía que auspiciaba el aquelarre junto a Microsoft. El hotel parecía cercado como un fuerte.

Las conferencias de seguridad pueden ser peligrosas. Después de leer un paper en DefCON, conferencia de hackers en Las Vegas, el ruso Dmitri Skylarov fue arrestado por agentes del FBI. Skylarov había explicado cómo había burlado la seguridad de cierta firma poderosa, y el caso puso sobre el tapete la oscura legislación que se cierne sobre los crímenes digitales. En 2005, la matemática Xiaoyun Wang viajó a Estados Unidos a contar cómo había hackeado una función criptográfica del gobierno norteamericano, pero las autoridades le impidieron entrar al país a leer su paper y la mandaron de vuelta a China. La seguridad informática se alimenta de dilemas: ¿publicar la vulnerabilidad de un sistema es diseminar un mal (alertando a los hackers de cómo aprovecharse de eso), o es contribuir a que la tecnología mejore, indicándole sus fallas?

Los hackers han merodeado el ciberespacio aun antes de que William Gibson creara el término ciberespacio en su Neuromante (1984). Desde los albores de la era electrónica (en los ’60), la progresiva conectividad entre las computadoras del mundo la mutación que las hizo pasar de ser un experimento militar al campo de juego de millones, en Internet se hace a un precio: la seguridad. Por los desafíos intelectuales que implican, y por las vulnerabilidades que nadie quiere revelar, conciliábulos como BA-Con y su séquito de nerds, espías industriales, hackers y compañías recelosas combinan la práctica científica con un mercado de paranoia, dibujando el paisaje de puntos sensibles.

Votos y robots

Experto en sistemas de votación, estrella techie del documental Hacking Democracy, el finlandés Harri Hursti es un tecnófobo total en lo que concierne al voto electrónico. Hursti mostró cuán increíblemente fácil era hackear los sistemas de voto existentes (la maquinaria que marcó el triunfo de George Bush) usando por ejemplo una tarjeta de crédito (al no reconocerla, el sistema te lleva, con sencillez espantosa, a la página del administrador). El alemán Hendrik Scholz explicó cómo captaba e intervenía las comunicaciones entre los aviones y la tierra. Su método tiene usos recreativos (hacerle creer a la aerolínea que viajás en primera, y que te mande chofer, valet y limusina) o militares: puede establecer la posición exacta de un avión, o de todos los aviones en Inglaterra. Naturalmente, manejar esta información es sumamente ilegal en varios países, avisó Scholz. Los hados de los aeropuertos se cobraron su venganza: al llegar a Buenos Aires, Scholz se enteró de que sus valijas estaban varadas en Escocia. Una de las presentaciones más originales estuvo a cargo del joven José Orlicki, estudiante de doctorado de ITBA. Orlicki creó un robot que rastrea las huellas online de una persona, y chatea con sus amigos de Facebook haciéndoles creer que es amigo, usando líneas de diálogo de películas que adecua al vocabulario del amigo en cuestión. La idea vino a José como una solución al spleen de su vida online: imaginó que si creaba un robot de sí mismo podría irse y dejarlo chateando sin que nadie notara la diferencia. Paraíso de la ingeniería social, las redes sociales como Facebook permiten jugar con las vulnerabilidades humanas, como el concepto de amistad: cuando el ataque viene en forma de mail (o chat) de alguien conocido, la efectividad es de un 60% contra un 3%. “En general, necesitás que alguien clickee sobre lo que mandás. Por eso, disfrazar al robot de un conocido te da mucha ventaja para este tipo de ataques”, comenta Orlicki. Dependiendo del blanco, estos mapas sociales pueden explotarse tanto para delitos comunes como para espionaje industrial. Y ahí es donde las cosas se ponen más espesas.

En la mira de los “hacks”

Paul (su alias secreto) no vino a BA-Con a presentar un paper: él trabaja para los departamentos de defensa de potencias aliadas. Su trabajo es identificar cerebros que luego recluta para los proyectos que traman sus amos. A través de Paul, EE.UU. puede financiar investigación (por ejemplo, invertir en detectar mensajes ultrarrápidos, método para espiar civiles) o abocarse a tareas más oscuras: espiar qué hay detrás del firewall (la nueva muralla) de China, hackear a compañías extranjeras, robar propiedad intelectual (método usado por Rusia en sus clones tardosoviéticos de Apple y Motorola) o desplegar batallas en teatros de guerra digitales, donde todo es desinformación y conspiraciones. “Acá hay por lo menos cuatro más como yo, trabajando para otros”, contó Paul a Radar, sorbiendo su margarita.

Los tiempos cambiaron desde que Hemignway tomaba mojitos cuando espiaba para el FBI en Cuba. En los ’90, con la pax clintoniana, miles de servicios secretos perdieron sus empleos, pero al despuntar la guerra antiterrorista, la demanda de inteligencia escaló y las pyme de espionaje se volvieron un negocio explosivo. Desmantelada la burocracia de la guerra fría, ahora funciona como una red de agencias privadas: en 2007 EE.UU. reveló que el 70% de su presupuesto de defensa se va en contratos civiles, y cada tarea tiene su especialista: interrogatorios y torturas (como en Abu Ghraib), operaciones encubiertas o seguridad informática y hacking.

Versiones Clark Kent de James Bond, los espías como Paul son indistinguibles del resto de los nerds. Las posibilidades de la ciberguerra exceden las armas nucleares: aspiran a crear redes de caos en el nivel más bajo: la vida cotidiana de máquinas y personas. ¿Cuáles son los sistemas que están en la mira?

Scada: es el hardware que controla gasoductos, fábricas, plantas eléctricas. Hackearlo permitiría controlar maquinaria poderosa para realizar acciones terroristas. “Los gasoductos usan turbinas para comprimir el gas, emiten un poco y lo queman para usarlo como energía; controlando la emisión podés prender y apagar el mecanismo produciendo una explosión. Con una simple computadora podrías volar un suburbio de Chicago”, cuenta Paul. En septiembre de 2005, la mitad de Los Angeles sin electricidad: se rumorea que fueron los chinos manipulando Scada (la versión oficial fue que un empleado cortó un cable por error).

Microprocesadores (embedded systems). Autos, teléfonos, microondas: la mayoría de los aparatos que nos rodean funcionan con pequeñas computadoras, los microprocesadores. “Estos sistemas son tan vulnerables como el resto en términos de infraestructura computacional”, explica Paul. Hackearlos permitiría hacerlos hacer cosas para las que no están preparados: transmitir conversaciones, seguir personas, atacar otras computadoras, hacer que alguien pierda el control del auto. “Una vez que controlás el grado cero de la maquinaria, game over. Todos las acciones, las más cotidianas, quedan en tu poder”, resume Paul.

Otros blancos en alza son los ataques usando redes sociales, y la telefonía p2p (peer to peer) como Skype. Para Microsoft, los blancos por excelencia siguen siendo los usuarios: cuentas de banco, tarjetas, etc. Se sabe que el Pentágono recibe cientos de ataques semanales, pero no trascienden las cifras de ataques a la NSA (la agencia heredera de los que hackearon Enigma para descifrar los mensajes alemanes, marcando el triunfo de los aliados). “Hackear la NSA, y que te descubran, es el modo más fácil de que vengan a buscarte con helicópteros negros, donde quiera que estés”, sonríe Paul.

Criminología digital

Para Dragos Ruiu, organizador de BA-Con, la criminalidad es un sucedáneo de la adopción masiva de Internet. “Este es el comienzo: en poco tiempo veremos el mismo espectro de comportamientos humanos que vemos offline y no toda la gente es buena.” Cada vez más, las computadoras son una pieza clave de los delincuentes comunes, y los ataques no perdonan las jerarquías: hace poco la cuenta de banco de Sarkozy fue hackeada, y la cuenta de AFIP de la presidenta Fernández también.

La seguridad implica saber jugar de los dos lados: sabe atacar quien sabe defender. Entre expertos, las distinciones entre hacker (el bueno) y cracker (el malo) no existen: son las mismas personas usando el mismo conocimiento para distintas cosas. ¿Cómo lidiar con la amenaza? La postura más radical es la de full disclosure: que todas las vulnerabilidades se hagan públicas. “Los medievales controlaban la información con excusas éticas y teológicas. Pero si queremos trabajar científicamente, la información tiene que fluir”, explica Iván Arce, experto de Core Security, compañía argentina de seguridad.

Las vulnerabilidades tienen un mercado con sus propias reglas. Cuando un hacker encuentra un bug, debe reportarlo al fabricante. Hackers y fabricantes trabajan juntos para buscar una solución: con el fabricante avisado y el antídoto en desarrollo se puede publicar el paper (advisory) para alertar al resto de la comunidad. También hay un mercado negro de “zero-day exploits”: vulnerabilidades inéditas por las que se paga buen dinero. Marginales de la industria, los compradores suelen ser compañías fantasma que hackean para gobiernos o para empresas (interesadas en perjudicar a su competidor). La guerra siempre es doble: por objetivos políticos y por dominación de mercado.

A principios del siglo XX, el espectáculo de la masa incontrolada de inmigrantes arribando a nuestras costas produjo políticas higienistas para proteger la “salud de la nación”. En los albores de este siglo, la obsesión ya no es con la salud de las naciones, sino con masas de información que circulan, incontrolables, por Internet. Las redes que conectan a las computadoras que muchos perciben como una especie de sistema nervioso mundial de redes neuronales desplegadas en torno de la piel del planeta plantean contaminaciones, y a la vez refutan la posibilidad de la inmunidad. No es posible progresar hacia sistemas puros ni erradicar la vulnerabilidad: como muestra la seguridad informática (los nuevos médicos), se trata de negociar constantemente entre el control y la pérdida del mismo.

Así como la palabra griega pharmakon significa remedio pero también veneno (el análisis famoso de Platón por Derrida), también los hacks son el antídoto y el mal. Intima y a la vez invasora, no hay fronteras para la amenaza.

Permalink:
http://www.pagina12.com.ar/diario/suplementos/radar/9-4941-2008-11-22.html

*
*
*
*

No hay comentarios: