06/15/09
RAOUL CHIESA, ASESOR DE
LA ONU:
"LA SEGURIDAD EN
LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"
Mercè Molist
Raoul Chiesa es un
ex-hacker italiano que trabaja como asesor de las Naciones Unidas
desde hace cinco años. Es el jefe técnico en todo lo que concierne
a ciberseguridad, dentro del Instituto Interregional de Investigación
sobre Crimen y Justicia (UNICRI). Su cometido es investigar la
seguridad de las infraestructuras nacionales críticas en todo el
mundo y, según dice, pocas llegan al aprobado. Avisa que sus
opiniones son a título personal y no del UNICRI.
-¿Quién eres tú?
-Un ciudadano de italia,
nacido el 3 de julio de 1973. Vivo en Torino. Crecí rodeado de
montañas, en una familia de clase media. Mi padre lleva una fábrica
de automatización, por lo que crecí entre máquinas, aceite y
muchas horas de trabajo. Creo que esta ha sido una de las razones que
me llevó a alejarme de las cosas mecánicas y dedicarme a los
ordenadores.
-¿A qué edad empezaste
a hackear?
-A los 15 empecé a
estudiar informática en la escuela. Pero desde que tenía... diría
que 9 o 10 años empecé a jugar con videojuegos. Cuando tenía 12,
mis padres me compraron mi primer "ordenador personal", un
Commodore VIC-20. Después de algunos meses jugando a videojuegos,
MUY caros para una chiquillo, decidí intentar crackear sus
protecciones. A los 13 años compré mi propio Commodore C-64 y un
"adaptador telemático" (el módem del abuelo ;). Aquí
empezó todo: BBS, llamadas internacionales, tarjetas para llamadas
internacionales, blue-boxing... Así no tuve que pagar nunca más
facturas exorbitantes a la compañía telefónica.
-¿Cómo recuerdas
aquellos años? -Sin duda, aquellos
tiempos, entre mis 13 y 20 y pico años, fueron los mejores de mi
vida. Bàsicamente, empecé a hackear a veces solo y a veces con
amigos en línea, dependiendo del objetivo (el sistema operativo del
ordenador objetivo), la hora del día o de la noche y así. A medida
que pasaron los años, fuí prefiriendo hackear solo... Creo que es
lo normal. Quiero decir: cuando eres un newbie no sabes mucho, no
tienes el conocimiento necesario. Es por eso que practicar el hacking
con amigos estaba bien para mi, ya que cada uno tenía el
conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro
completo. La escena hacker en aquellos años (1986-1995) era
increíble. En primer lugar, no existía el concepto de "crimen":
hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo
sucedió en muchos países europeos. Por tanto, podías sentir la
magia, aquella increible sensación gracias a la cual era capaz,
desde mi pequeña habitación de adolescente, de chatear o hablar por
voz con gente totalmente desconocida que vivían en el norte de
Europa, en los Estados Unidos, en Australia... Era algo parecido a
cuando yo era un niño pequeño y mi padre hablaba, a través de las
ondas cortas, con otras personas apasionadas por la Banda Ciudadana.
Era una sensación parecida.
-¿Cuándo te
convertiste en un buen hacker? ¿Cuál fue el punto de inflexión?
-Lo recuerdo
perfectamente. Sucedió cuando pasé de las zonas de chat "estándar"
a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec en
Alemania, aquello eran auténticas "cuevas de hackers", en
las que la gente pertenecía a la crema, a un grupo de élite. Y, de
repente, me dí cuenta de que era parte de este mundo, que mi vida
pertenecía a él. Aún hoy estoy en contacto con esa gente y algunos
están entre mis mejores amigos. Crecimos juntos, algo nos une.
Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que
"los humanos no verán en sus vidas", aún tenemos secretos
que guardamos... Es como una hermandad de sangre.
-Tú eres un
especialista en redes X.25. ¿Cómo empezaste a jugar con eso?
-Básicamente conozo las
redes X.25 tan bien porque no tenía otra salida. En aquellos años,
la Internet no era accesible como lo es hoy: sólo unos pocos centros
de investigación, unas pocas universidades y, por supuesto, el
ejército norteamericano la usaban. Antes de la Internet de las
organizaciones, tanto gubernamentales, institucionales como
multinacionales, teníamos que depender de las redes mundiales X.25
para conectar los unos con los otros. Aquí fue donde empecé, ese
era mi mundo. Posiblemente, esta es la razón de que, hoy, sea
considerado uno de los 4 o 5 expertos mundiales que "conocen el
percal" en este tema específico. Tener un acceso X.25 era
también la única forma de poder hablar con mis amigos hackers, así
como de "saltar" a Internet desde un ordenador "dual-homed"
X.25/IPv4.
-¿Es cierto que
hackeaste compañías de telecomunicaciones, bancos, redes de
satélites y más? Me parece algo muy difícil...
-En aquellos tiempos,
eras realmente capaz de "encontrar" cualquier cosa en X.25,
como pasa hoy con Internet. Era muy común encontrarte sistemas de
bases de misiles, telecos, bancos, gobiernos. Y, sobre todo, todo era
tan inseguro. La seguridad de la información era algo nuevo, los
administradores de sistemas no sabían que adolescentes del otro lado
del mundo podían estar allí acechando, esperando sus errores para
hackear en sus sistemas. Sólo para que lo entiendas: a finales de
los 80 yo había hackeado toda la red WAN interna de Telefónica y
tenía el control total de todo el Sistema Nacional de
Telecomunicaciones Español. Esto sucedió con casi todos los
operadores de telecomunicaciones del mundo, en aquellos años, todos
estábamos hackeando telecos porque era divertido, fácil y útil. Y,
por supuesto, porque "los hackers aman las telecos" ;) -¿Hoy es tan fácil
hackear redes X.25?
-Bueno, si sabes cómo
hacerlo, la respuesta es sí. Te cuento porqué: en el pasado, todos
los hackers dependían de X.25. Hoy esta gente ya no hackea (la
mayoría): se han pasado a la seguridad como un trabajo full-time,
están en empresas de seguridad y ya no hackean, o simplemente están
haciendo otras cosas. Hoy en día los hackers crecen con Internet y
Google. No pueden hackear redes X.25 porque son otra cosa. Por tanto,
desde este punto de vista la respuesta es que no, hoy es más difícil
hackear en sistemas X.25. Por lo que yo sé, mi empresa es una de las
pocas en el mundo capaz de ofrecer tests de penetración basados en
X.25.
-¿Jugaste con más
cosas, además de las redes X.25, en tus tiempos de hacker?
-Solía hackear en unas
134 redes X.25 en todo el mundo, lo que significa más de 100 países.
Nunca contabilicé los sistemas hackeados, simplemente porque serian
cientos de miles. Recuerdo que, después de 1993, simplemente paré
de anotar todos los sistemas que era capaz de hackear: eran
demasiados, tenían 5 agendas y 10 blocs de notas llenos totalmente
de direcciones X.25, nombres de usuario y contraseñas y dije: "Esto
es demasiado: estoy perdiendo más tiempo para escribir todas las
notas que el tiempo que necesito para entrar en estos sistemas".
-En tu biografía
oficial puede leerse: "Después de una serie de sensacionales
interferencias, tanto en telecos como en otras instituciones
militares, gubernamentales y financieras...". ¿Cuáles fueron
esas sensacionales interferencias? ¿Qué hiciste?
-Oh.. bueno... Como he
dicho, es imposible hacer una lista completa. Entré en las
principales telecos del mundo (AT&T, GTE, MCI, Sprint
Communications..), hackeé en la red global del ejército
norteamericano, bancos, bolsas de valores... La frase "sensacionales
interferencias" es de la unidad especial que me detuvo años
después. Los policías estaban muy impresionados por la cantidad de
conocimiento que tenía en mi cabeza, por mi juventud y por el hecho
de que un adolescente controlase las ¾ partes de todo el mundo IT y
TLC de aquellos años.
-También en tu
biografía oficial se dice: "Fue oficialmente reconocido como
uno de los miembros de la escena hacker europea y norteamericana por
autoridades internacionales en 1995". No entiendo: ¿qué
autoridades internacionales te dicen si eres un hacker o no?
-Con esta pregunta veo
que no has hackeado en tu vida ;) Las únicas autoridades
internacionales que, de alguna forma, pueden "decir al mundo"
que estás entre los top-one son dos: el FBI y la Interpol. Por
tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir
es que, en estos años, cuando tu eres un hacker europeo, ser
perseguido por el FBI significa que no eres un "script-kiddie",
sino que eres capaz de "cruzar las fronteras" de tu país,
que estás haciendo realmente un montón de ruido, aunque seas cauto
y paranoico.
-Te detuvieron en 1995.
¿Por qué?
-Entré en Bankitalia,
la agencia espacial italiana, la ENEA (National Body for Alternative
Energy) y otras 50 compañías y les dije que todo el sistema
italiano no era seguro. Podría decirse que no les gustó mucho.
-¿Fuiste a la cárcel?
-No, nunca he estado en
la cárcel, ni un solo día. Probablemente porque tanto los fiscales
como los jueces se dieron cuenta de que yo era un adolescente muy
curioso, bastante listo, que se aburría mucho en la escuela y
descubrió el hacking como un estilo de vida. Como no había dañado
los sistemas informáticos que había penetrado, y no había robado
dinero, decidieron que, después de todo, era un buen chico. Además,
fuí el primer caso hacker del país: los legisladores no sabían muy
bien cómo manejar aquello, los abogados no tenían ni idea de qué
les estaba hablando... De alguna forma, había sido un gran lío.
-¿Fue entonces cuando
dejaste de hackear, por miedo, y te convertiste en un consultor de
seguridad?
-No fue por miedo. Esto
es algo que, típicamente, les pasa a dos categorías de hackers,
cuando son pillados: los "script-kiddies" y los hackers
éticos. Pero por diferentes razones. Los "script-kiddies"
suelen ser muy jóvenes (12-16 años) y, obviamente, les asusta el
arresto, la policía y lo demás: es por eso que dejan sus
actividades de hacking. Los hackers éticos simplemente crecen y
entienden que, si siguen con el hacking, la próxima vez no será tan
fácil como la primera. Por último y no menos importante, la
historia es normalmente la misma: en todo el mundo viejos hackers
saltan al mundo de la seguridad informática. Después de todo, este
es nuestro mundo, conocemos lo que hay, amamos lo que hacemos.
Entonces, ¿por qué no? -¿De verdad crees que
alguien puede dejar de ser un hacker?
-No y sí. No porque
eres un hacker dentro de tu alma: no es sólo tecnología, es la
forma como ves las cosas, si crees o no lo que "ellos" te
cuentan. Me gusta decir que puedes ser un hacker incluso sin saber
cómo usar un PC, puedes ser un hacker de motores, de leyes.. el
hacking no va sólo de hacking. Pero la respuesta a tu pregunta
también es un sí: ahora mismo tengo 35 años. Básicamente, si
quisiera realizar ataques de hacking hoy en día probablemente sería
un idiota. Crecí y evolucioné, igual que todos los seres humanos de
este mundo. Lo que intento decirte es que es normal, cuando creces,
parar de perder tu tiempo y de cometer errores: esto es exactamente
lo que hice. Creo, después de todos esos años, que la detención
fue, de alguna forma, una especie de suerte, que me permitió darme
cuenta de lo que estaba haciendo, de lo que era capaz de hacer y de a
qué riesgos me había expuesto.
-¿Cuál es tu trabajo
como consultor de las Naciones Unidas?
-Empecé
a trabajar con el Instituto Interregional de Investigación sobre
Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco
años. Soy el jefe técnico en todo lo que concierne al cibercrimen:
llevamos diferentes proyectos, básicamente dedicados a investigación
y desarrollo en diversas áreas, como formación en informática
forense para fuerzas de la ley (usando software abierto),
infraestructuras nacionales críticas, etc. Aquí hay más
información: http://www.unicri.it/wwd/cyber_crime/index.php.
El UNICRI me ha ayudado mucho con el proyecto "Hacker's
Profiling Project" (http://hpp.recursiva.org)
-Cuáles son las
infraestructuras peor defendidas?
-Si hablamos de países,
siempre me ha sorprendido el alto nivel de inseguridad que puedes
encontrar en países como Corea del Sur y Japón. Es increible que
países tan "hi-tech" no sean capaces de manejar su
seguridad informática. Si, por otro lado, hablamos de áreas
económicas y no de países, las empresas de telecomunicaciones son
las menos inseguras de todas. Ahora mismo, mientras te respondo, nos
enteramos de que T-Mobile ha sido hackeada por enésima vez.
-Cuál es el estado del
arte, en general, de la seguridad de las infraestructuras críticas?
Cuáles son los más grandes agujeros de seguridad?
-No estamos hablando de
agujeros sino de ignorancia. Estas infraestructuras y, en general,
todo el mundo de la automatización industrial, ahora mismo está
como estaban las tecnologías de la información hace diez años.
Para ponerte un ejemplo, no usan antivirus... porque puede frenar la
producción de los ordenadores. Al ser ordenadores industriales, si
dejan de trabajar la empresa deja de ganar dinero. ¿Alguna vez te
has preguntado cuánto cuesta parar la cadena de producción de una
empresa cementera, por ejemplo? Por lo tanto, las infraestructuras
críticas y la automatización industrial básicamente adolecen de lo
siguiente: no hay segmentación de la red, no hay antivirus,
detectores de intrusos, registros, auditorías, test de seguridad y
penetración, no hay parches ni actualizaciones (en serio), se usan
sistemas operativos sin soporte, como Windows 98, la seguridad se
enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan
configuraciones por defecto, no se controlan los accesos remotos, no
hay planes de recuperación ante desastres (o, si los tienen, son
inútiles). -Has estado testeando
estos sistemas, supongo, para saberlo...
-Hace unas semanas
estuvimos probando una Planta Nacional de Energía entera. La
respuesta, entonces, es sí. Nos contratan para probar, en todo el
mundo, infraestructuras críticas nacionales y lo estamos haciendo
desde hace años. Yo pertenezco además a un grupo de investigación
internacional, Cristal (http://cristal.recursiva.org) y estamos
continuamente intercambiando experiencias y tendencias de seguridad
con otros investigadores.
-Estamos realmente en
grave riesgo? Tienes algunos ejemplos?
-Las malas noticias son
que estos incidentes se están dando ya en sitios como servicios
públicos de energía eléctrica, nuclear, gas natural, producción
de petróleo y sistemas de transmisión; empresas de comunicaciones y
tecnologías de la información, finanzas (banca, valores,
inversiones), salud (hospitales, instalaciones de suministro de
sangre, farmacéuticas), industria alimentaria, servicios del agua,
transporte, seguridad (armas químicas, biológicas, radiológicas,
nucleares, servicios de emergencia), gobiernos (incluídas sus redes
de información) y la industria manufacturera. -¿Tanto?
-Hay multitud de
ejemplos. El primer inicidente que conocemos sucedió en 1982 en
Siberia, cuando hubo una explosión de tres kilotones. El "software"
que usaba una compañía petrolera tenía fallos y no soportó la
presión, de forma que el petróleo se encendió y explotó. Otro
triste indicente se dio el 10 de junio de 1999 en el Parque de las
Cataratas Whatcom, en Estados Unidos: una tubería de acero de 16
pulgadas de diámetro, propiedad de la empresa Olympic Pipe Line
Company, se rompió y liberó unos 237.000 galones de gasolina en un
arroyo que fluyó a través de las cataratas hasta el parque
Bellingham, en Washington. Una hora y media después de la ruptura,
la gasolina se encendió y quemó unas 1,5 millas. Dos niños de diez
años y un joven de 18 murieron a consecuencia del accidente. Hubo
además ocho heridos y la planta de tratamiento de agua de la ciudad
de Bellinghamis fue seriamente dañada. Se estimó que los daños
ascendieron a 45 millones de dolares. Según el informe oficial, "si
el sistema informático de control hubiese respondido a los comandos
de los controladores de la compañía Olympics, se habría evitado el
accidente".
-Es cierto que todas las
redes militares y críticas están separadas de Internet, de forma
que nadie pueda acceder a ellas?
-Jajaja. Esto no es
cierto. Para poner un ejemplo: ¿cómo crees que el ejército
norteamericano en Irak se comunica con sus altos mandos en Estados
Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través
de Voz IP! Así que, obviamente, las redes militares están unidas a
Internet. No olvides que hablamos de entornos muy grandes: siempre se
cometen errores, antes o después. Por supuesto no van a instalar sus
bases de datos más críticas en la web, pero los atacantes siempre
encontrarán otras rutas de ataque para conseguir acceso interno a
estas redes y saltar de sistema en sistema, hasta encontrar lo que
buscan.
-¿Lo mismo puede
decirse para la OTAN?
-En la OTAN usan dos
redes de datos diferentes: una "pública" y otra
"clasificada". Pero conozco a militares que hacen tests de
penetración en entornos militares, también de la OTAN, y la
situación no es muy bonita. Los chinos dicen que han hackeado el
ejército norteamericano y este lo admite oficialmente... ¿cómo
podemos estar tranquilo ante estas cosas?
-Han aumentado los
ataques a las infraestructuras criticas en los ultimos años?
-En el ejército, sí y
exponencialmente. Hace ya años que el gobierno chino empezó a
lanzar ataques contra Estados Unidos, Gran Bretaña, Alemania, Italia
y otros. En mi opinión, quienes los realizan no son "black
hats", si con este término queremos referirnos a alguien que
está dentro de la comunidad hacker. Son soldados que conocen las
actuales técnicas de hacking, pero no pertenecen ni han crecido en
el mundo hacker.
-Hablando de tipos de
hackers, tú participas en el "Hackers Profiling Project",
que ha recogido un montón de estadísicas sobre los hackers. ¿Cuáles
son las mas interesantes?
-La información que
hemos recogido es realmente increible. Sobre todo en tres puntos:
edades, sexo y distribución geográfica. En edades hemos visto que,
en los últimos años, las edades en que los chicos empiezan a
hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15
años, mientras que ahora algunos empiezan a los 8 y 9 años. Esto
significa que, gracias a la difusión de Internet y la documentación
y herramientas de hacking, los chiquillos entran antes en este mundo.
-Y en cuanto al sexo?
-Aquí la sorpresa es
que en los 80 el percentaje de mujeres en la comunidad hacker era de
un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy estamos en el 6%,
lo que significa mucho. Desde hace unos años estoy viendo cada vez
más mujeres participar en eventos hacker y estoy seguro de que esta
cifra crecerá en los próximos años.
-En cuanto a
distribución geográfica?
-En los 80, los hacker
vivían en ciudades. Esto era así simplemente porque no era fácil,
en aquellos días, encontrar una tienda de informática, o una línea
telefónica dedicada, o una línea digital en el campo y las ciudades
eran la única solución. Hoy, Internet está en todas partes y
permite a la gente de ciudades pequeñas y pueblos iniciar sus
"carreras de hacker".-Aparte de esto, ha
cambiado la escena hacker en 20 años? (sí, sé que es la típica
pregunta)
-Sí, pero aún así
está bien formularla. Obviamente la escena hacker ha cambiado mucho.
Hablamos de una evolución, de la pérdida de la vieja ética
mientras se creaba otra y de la mezcla entre el crimen organizado y
las actividades de hacking (la Rusian Business Network y las
organizaciones de código malicioso de San Petersburgo y Kiev podrían
darnos algunas lecciones).
-Qué tipos de hackers
están aumentando y cuáles desapareciendo?
-Está claro que los
malos chicos están aumentando, también el crimen organizado de bajo
nivel de países como Rumanía, Ucraina y algunos de Sudamérica. No
veo en cambio ninguna tipología de hacker decreciendo.
-¿Qué hay de los black
hats que trabajan con los terroristas? ¿Existen realmente?
-El "ciberterrorismo"
es una gran mentira, querida Merce. Primero, porque simplemente no
hemos visto aún a un auténtico terrorista lanzar ataques IT. Por
supuesto que muchos gobiernos sienten que el "ciberterrorismo"
es una nueva tendencia, una nueva "palabra clave" para los
próximos años, lo que significa que muchas instituciones
gubernamentales gastarán billones de dólares en este tema (el
presupuesto para 2010 del Departamento de Seguridad Interior de EEUU
incluye 40 millones de dólares para la seguridad nacional en
tecnologías de la información).
-Te defines como un
hacker ético. ¿Qué es, para ti, un hacker ético?
-En pocas palabras, los
hackers éticos hacen investigación y siguen una política de
divulgación total o responsable, no dañan los sistemas que hackean,
no roban nada. Tienen "buen corazón" y su alma nunca hará
nada "malo". Por supuesto estas normas han cambiado con los
años, pero aún hoy los hackers éticos hacen sus propias
investigaciones, comparten los resultados con todo el mundo y,
básicamente, ayudan al mercado IT y a la comunidad mundial a elevar
el nivel de seguridad de todo el mundo.
-Tú eres un defensor
del "full disclosure". ¿Sin límites?
-99% sí, sin límites.
Pero tengo que ser franco: algunas ocasiones en mi vida me ha
sucedido que "1%". Esto pasa cuando las vulnerabilidades
que encuentras y tienes en tus manos pueden impactar realmente en el
mundo en el que vivimos. En estos casos, he optado por una
no-divulgación total. Aún hoy, poseemos las vulnerabilidades y
exploits que no hemos hecho públicos, ¡y siguen funcionando después
de tantos años!
-En un mundo con cada
vez más inseguridad, con todas esas botnets, virus, spam, te miro,
consultor de seguridad, y pregunto: ¿En qué hemos fallado?
-Es una fantástica
pregunta. ¿En qué hemos fallado... o: hemos fallado?, debería
preguntarte. Las fuerzas del mal son más rápidas que nosotros. Los
enemigos no son hackers, son una mezcla de criminales, ladrones y
gente cualificada en IT. Están organizados como empresas de verdad,
con flujos de dinero e información. Los expertos en IT pueden ganar
algunas batallas, pero no toda la guerra. No solos. Necesitamos el
apoyo de las empresas de IT, las fuerzas de la ley y el "underground"
también. Y, como puedes imaginar, no es nada fácil.
Copyright 2009 Mercè
Molist.
Verbatim copying,
translation and distribution of this entire article is permitted in
any digital and no commercial medium, provide this notice is
preserved.
<<