[HACK] Entrevista Adam Laurie
merce
illadeltresor at gmail.com
Wed Jul 11 10:32:04 CEST 2007
26/06/07 19:40:14
"LOS GOBIERNOS NO SE TOMAN LA TECNOLOGÍA EN SERIO"
Mercè Molist
Tarjetas de crédito, mandos a distancia, puertas de garaje, sistemas
de televisión de hoteles, billetes de avión y de metro. No hay
código de seguridad que se resista al británico Adam Laurie,
veterano hacker del lado del bien. Su última hazaña ha sido
demostrar que los flamantes pasaportes biométricos de Gran Bretaña
se pueden clonar.
-Llega tarde.
-Disculpe. Estaba copiando para unos chicos unas tarjetas con chips
RFID, esas que la industria dice que es imposible clonar. Una era
para entrar en su oficina y la otra, para la máquina de café.
-A usted le gusta "jugar" con todo. ¿Tiene alguna pauta común?
-Investigar la seguridad de las tecnologías que afectan al consumidor.
-¿Cómo consiguió romper la protección del chip de los pasaportes
británicos?
-La clave está formada por tres elementos: el número de pasaporte,
la fecha de expiración y la fecha de nacimiento. No fue difícil
descubrir las fechas. En cuanto al pasaporte, les dan números
secuenciales, así que sólo tuve que buscar dentro de un rango. Fácil.
-¡Lo parece!
-Este es el problema. La solución también es fácil: no dar números
secuenciales a los pasaportes.
-¿El gobierno ha dicho que lo solucionará?
-A mi no me dicen nada. Nos comunicamos a través de los periódicos.
-¿Los gobiernos no saben usar la tecnología?
-No se la toman seriamente, tampoco la industria. Hablan mucho de
estándares, protocolos, pero no viven en el mundo real, no piensan
que están diseñando algo que debe ser seguro. Se creen infalibles,
gastan mucho dinero en cosas equivocadas y después no lo quieren
admitir.
-¿Como los chips RFID?
-Sí. Un ejemplo: el chip tiene un número de identificación y con eso
ya te autentifican. Es como si, para sacar dinero, sólo fuese
necesario que el cajero leyese el número de la tarjeta de crédito,
sin poner el PIN.
-Usted conoce muchos fallos de seguridad. ¿Qué tanto por ciento hace
públicos?
-Todo. Creo en el "full disclosure" (divulgación total) porque
quiero que se arreglen los agujeros que descubro y también porque la
gente tiene derecho a saber.
-Pero eso incluye a los chicos malos...
-Si hay un agujero en tu banco y yo soy un chico malo, sacaré dinero
sin que nadie lo sepa. Si soy un buen chico y lo descubro, puedo ir
al banco y avisarles. Ellos lo arreglarán o no. Si no lo hacen, el
próximo paso será hacérselo saber al público, para que pueda defenderse.
-La actividad criminal está llenando Internet de porquería. Ya no
miro mi correo, ahora miro mi "spam".
-El correo basura es una parte aislada del problema porque es muy
difícil de manejar. Pero a largo plazo morirá. A medida que el
público se eduque, entienda cómo funciona y deje de comprar Viagra,
desaparecerá.
-¿Y en cuanto al resto de delincuencia?
-La cuestión de fondo es que los gobiernos no han resuelto a qué
nivel deben luchar contra esto.
-¿Habla de hacer más leyes?
-No. Deben reforzarse las existentes y necesitamos más
investigación. No me refiero sólo a Internet sino a la tecnología en
general. Alguien me robó la tarjeta de crédito, la usó para comprar
en gasolineras hasta 400 dólares y, cuando lo denuncié a la policía,
dijeron que no era un monto suficiente para investigarlo. Pero esta
banda está organizada, tiene otras tarjetas robadas y saca miles de
dólares diarios sin que nadie lo investigue.
-¿La red está tan llena de criminales como parece?
-Sí. La prueba es que si conectas un ordenador sin protección, se
infectará
en minutos. Pero esto también pasa en la calle, si dejas la puerta
de tu casa abierta. La diferencia es que la gente que se hace
responsable de tu seguridad en Internet no tiene interés en hacer
productos seguros. Lo importante es sacarlos al mercado, hacer
dinero y después, si acaso, se preocuparán por la seguridad.
-Usted ha organizado reuniones clave de la comunidad hacker como la
DEFCON o la Black Hat.
-La DEFCON es un lugar de reunión para todo el mundo, sean
vendedores de programas, empresas de seguridad, agencias del
gobierno, buenos y malos chicos. Es importante que no se excluya a
nadie porque la cuestión es compartir cuanto más conocimiento mejor.
De lo contrario, salen las leyes que salen.
-¿Qué leyes?
-Basadas en favorecer a la industria: leyes contra la ingeniería
inversa, la revelación de información...
-...las herramientas de hacking...
-Y de esta forma ilegalizan también la investigación.
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list