[HACK] Entrevista Raoul Chiesa
merce
illadeltresor at gmail.com
Tue Jul 28 12:47:48 CEST 2009
06/15/09
"LA SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE
RETRASO"
Mercè Molist
Raoul Chiesa es un ex-hacker italiano que trabaja como asesor de las
Naciones Unidas desde hace cinco años. Es el jefe técnico en todo lo
que concierne a ciberseguridad, dentro del Instituto Interregional
de Investigación sobre Crimen y Justicia (UNICRI). Su cometido es
investigar la seguridad de las infraestructuras nacionales críticas
en todo el mundo y, según dice, pocas llegan al aprobado. Avisa que
sus opiniones son a título personal y no del UNICRI.
-¿Quién eres tú?
-Un ciudadano de italia, nacido el 3 de julio de 1973. Vivo en
Torino. Crecí rodeado de montañas, en una familia de clase media. Mi
padre lleva una fábrica de automatización, por lo que crecí entre
máquinas, aceite y muchas horas de trabajo. Creo que esta ha sido
una de las razones que me llevó a alejarme de las cosas mecánicas y
dedicarme a los ordenadores.
-¿A qué edad empezaste a hackear?
-A los 15 empecé a estudiar informática en la escuela. Pero desde
que tenía... diría que 9 o 10 años empecé a jugar con videojuegos.
Cuando tenía 12, mis padres me compraron mi primer "ordenador
personal", un Commodore VIC-20. Después de algunos meses jugando a
videojuegos, MUY caros para una chiquillo, decidí intentar crackear
sus protecciones. A los 13 años compré mi propio Commodore C-64 y un
"adaptador telemático" (el módem del abuelo ;). Aquí empezó todo:
BBS, llamadas internacionales, tarjetas para llamadas
internacionales, blue-boxing... Así no tuve que pagar nunca más
facturas exorbitantes a la compañía telefónica.
-¿Cómo recuerdas aquellos años?
-Sin duda, aquellos tiempos, entre mis 13 y 20 y pico años, fueron
los mejores de mi vida. Bàsicamente, empecé a hackear a veces solo y
a veces con amigos en línea, dependiendo del objetivo (el sistema
operativo del ordenador objetivo), la hora del día o de la noche y
así. A medida que pasaron los años, fuí prefiriendo hackear solo...
Creo que es lo normal. Quiero decir: cuando eres un newbie no sabes
mucho, no tienes el conocimiento necesario. Es por eso que practicar
el hacking con amigos estaba bien para mi, ya que cada uno tenía el
conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro
completo. La escena hacker en aquellos años (1986-1995) era
increíble. En primer lugar, no existía el concepto de "crimen":
hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo
sucedió en muchos países europeos. Por tanto, podías sentir la
magia, aquella increible sensación gracias a la cual era capaz,
desde mi pequeña habitación de adolescente, de chatear o hablar por
voz con gente totalmente desconocida que vivían en el norte de
Europa, en los Estados Unidos, en Australia... Era algo parecido a
cuando yo era un niño pequeño y mi padre hablaba, a través de las
ondas cortas, con otras personas apasionadas por la Banda Ciudadana.
Era una sensación parecida.
-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de
inflexión?
-Lo recuerdo perfectamente. Sucedió cuando pasé de las zonas de chat
"estándar" a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec
en Alemania, aquello eran auténticas "cuevas de hackers", en las que
la gente pertenecía a la crema, a un grupo de élite. Y, de repente,
me dí cuenta de que era parte de este mundo, que mi vida pertenecía
a él. Aún hoy estoy en contacto con esa gente y algunos están entre
mis mejores amigos. Crecimos juntos, algo nos une. Hicimos cosas que
eran tan pioneras, vimos piezas de este mundo que "los humanos no
verán en sus vidas", aún tenemos secretos que guardamos... Es como
una hermandad de sangre.
-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con eso?
-Básicamente conozo las redes X.25 tan bien porque no tenía otra
salida. En aquellos años, la Internet no era accesible como lo es
hoy: sólo unos pocos centros de investigación, unas pocas
universidades y, por supuesto, el ejército norteamericano la usaban.
Antes de la Internet de las organizaciones, tanto gubernamentales,
institucionales como multinacionales, teníamos que depender de las
redes mundiales X.25 para conectar los unos con los otros. Aquí fue
donde empecé, ese era mi mundo. Posiblemente, esta es la razón de
que, hoy, sea considerado uno de los 4 o 5 expertos mundiales que
"conocen el percal" en este tema específico. Tener un acceso X.25
era también la única forma de poder hablar con mis amigos hackers,
así como de "saltar" a Internet desde un ordenador "dual-homed"
X.25/IPv4.
-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos,
redes de satélites y más? Me parece algo muy difícil...
-En aquellos tiempos, eras realmente capaz de "encontrar" cualquier
cosa en X.25, como pasa hoy con Internet. Era muy común encontrarte
sistemas de bases de misiles, telecos, bancos, gobiernos. Y, sobre
todo, todo era tan inseguro. La seguridad de la información era algo
nuevo, los administradores de sistemas no sabían que adolescentes
del otro lado del mundo podían estar allí acechando, esperando sus
errores para hackear en sus sistemas. Sólo para que lo entiendas: a
finales de los 80 yo había hackeado toda la red WAN interna de
Telefónica y tenía el control total de todo el Sistema Nacional de
Telecomunicaciones Español. Esto sucedió con casi todos los
operadores de telecomunicaciones del mundo, en aquellos años, todos
estábamos hackeando telecos porque era divertido, fácil y útil. Y,
por supuesto, porque "los hackers aman las telecos" ;)
-¿Hoy es tan fácil hackear redes X.25?
-Bueno, si sabes cómo hacerlo, la respuesta es sí. Te cuento porqué:
en el pasado, todos los hackers dependían de X.25. Hoy esta gente ya
no hackea (la mayoría): se han pasado a la seguridad como un trabajo
full-time, están en empresas de seguridad y ya no hackean, o
simplemente están haciendo otras cosas. Hoy en día los hackers
crecen con Internet y Google. No pueden hackear redes X.25 porque
son otra cosa. Por tanto, desde este punto de vista la respuesta es
que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo
sé, mi empresa es una de las pocas en el mundo capaz de ofrecer
tests de penetración basados en X.25.
-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de
hacker?
-Solía hackear en unas 134 redes X.25 en todo el mundo, lo que
significa más de 100 países. Nunca contabilicé los sistemas
hackeados, simplemente porque serian cientos de miles. Recuerdo que,
después de 1993, simplemente paré de anotar todos los sistemas que
era capaz de hackear: eran demasiados, tenían 5 agendas y 10 blocs
de notas llenos totalmente de direcciones X.25, nombres de usuario y
contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo
para escribir todas las notas que el tiempo que necesito para entrar
en estos sistemas".
-En tu biografía oficial puede leerse: "Después de una serie de
sensacionales interferencias, tanto en telecos como en otras
instituciones militares, gubernamentales y financieras...". ¿Cuáles
fueron esas sensacionales interferencias? ¿Qué hiciste?
-Oh.. bueno... Como he dicho, es imposible hacer una lista completa.
Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint
Communications..), hackeé en la red global del ejército
norteamericano, bancos, bolsas de valores... La frase "sensacionales
interferencias" es de la unidad especial que me detuvo años después.
Los policías estaban muy impresionados por la cantidad de
conocimiento que tenía en mi cabeza, por mi juventud y por el hecho
de que un adolescente controlase las ¾ partes de todo el mundo IT y
TLC de aquellos años.
-También en tu biografía oficial se dice: "Fue oficialmente
reconocido como uno de los miembros de la escena hacker europea y
norteamericana por autoridades internacionales en 1995". No
entiendo: ¿qué autoridades internacionales te dicen si eres un
hacker o no?
-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas
autoridades internacionales que, de alguna forma, pueden "decir al
mundo" que estás entre los top-one son dos: el FBI y la Interpol.
Por tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero
decir es que, en estos años, cuando tu eres un hacker europeo, ser
perseguido por el FBI significa que no eres un "script-kiddie", sino
que eres capaz de "cruzar las fronteras" de tu país, que estás
haciendo realmente un montón de ruido, aunque seas cauto y paranoico.
-Te detuvieron en 1995. ¿Por qué?
-Entré en Bankitalia, la agencia espacial italiana, la ENEA
(National Body for Alternative Energy) y otras 50 compañías y les
dije que todo el sistema italiano no era seguro. Podría decirse que
no les gustó mucho.
-¿Fuiste a la cárcel?
-No, nunca he estado en la cárcel, ni un solo día. Probablemente
porque tanto los fiscales como los jueces se dieron cuenta de que yo
era un adolescente muy curioso, bastante listo, que se aburría mucho
en la escuela y descubrió el hacking como un estilo de vida. Como no
había dañado los sistemas informáticos que había penetrado, y no
había robado dinero, decidieron que, después de todo, era un buen
chico. Además, fuí el primer caso hacker del país: los legisladores
no sabían muy bien cómo manejar aquello, los abogados no tenían ni
idea de qué les estaba hablando... De alguna forma, había sido un
gran lío.
-¿Fue entonces cuando dejaste de hackear, por miedo, y te
convertiste en un consultor de seguridad?
-No fue por miedo. Esto es algo que, típicamente, les pasa a dos
categorías de hackers, cuando son pillados: los "script-kiddies" y
los hackers éticos. Pero por diferentes razones. Los
"script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente,
les asusta el arresto, la policía y lo demás: es por eso que dejan
sus actividades de hacking. Los hackers éticos simplemente crecen y
entienden que, si siguen con el hacking, la próxima vez no será tan
fácil como la primera. Por último y no menos importante, la historia
es normalmente la misma: en todo el mundo viejos hackers saltan al
mundo de la seguridad informática. Después de todo, este es nuestro
mundo, conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por
qué no?
-¿De verdad crees que alguien puede dejar de ser un hacker?
-No y sí. No porque eres un hacker dentro de tu alma: no es sólo
tecnología, es la forma como ves las cosas, si crees o no lo que
"ellos" te cuentan. Me gusta decir que puedes ser un hacker incluso
sin saber cómo usar un PC, puedes ser un hacker de motores, de
leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu
pregunta también es un sí: ahora mismo tengo 35 años. Básicamente,
si quisiera realizar ataques de hacking hoy en día probablemente
sería un idiota. Crecí y evolucioné, igual que todos los seres
humanos de este mundo. Lo que intento decirte es que es normal,
cuando creces, parar de perder tu tiempo y de cometer errores: esto
es exactamente lo que hice. Creo, después de todos esos años, que la
detención fue, de alguna forma, una especie de suerte, que me
permitió darme cuenta de lo que estaba haciendo, de lo que era capaz
de hacer y de a qué riesgos me había expuesto.
-¿Cuál es tu trabajo como consultor de las Naciones Unidas?
-Empecé a trabajar con el Instituto Interregional de Investigación
sobre Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos
cinco años. Soy el jefe técnico en todo lo que concierne al
cibercrimen: llevamos diferentes proyectos, básicamente dedicados a
investigación y desarrollo en diversas áreas, como formación en
informática forense para fuerzas de la ley (usando software
abierto), infraestructuras nacionales críticas, etc. Aquí hay más
información: http://www.unicri.it/wwd/cyber_crime/index.php. El
UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling
Project" (http://hpp.recursiva.org)
-Cuáles son las infraestructuras peor defendidas?
-Si hablamos de países, siempre me ha sorprendido el alto nivel de
inseguridad que puedes encontrar en países como Corea del Sur y
Japón. Es increible que países tan "hi-tech" no sean capaces de
manejar su seguridad informática. Si, por otro lado, hablamos de
áreas económicas y no de países, las empresas de telecomunicaciones
son las menos inseguras de todas. Ahora mismo, mientras te respondo,
nos enteramos de que T-Mobile ha sido hackeada por enésima vez.
-Cuál es el estado del arte, en general, de la seguridad de las
infraestructuras críticas? Cuáles son los más grandes agujeros de
seguridad?
-No estamos hablando de agujeros sino de ignorancia. Estas
infraestructuras y, en general, todo el mundo de la automatización
industrial, ahora mismo está como estaban las tecnologías de la
información hace diez años. Para ponerte un ejemplo, no usan
antivirus... porque puede frenar la producción de los ordenadores.
Al ser ordenadores industriales, si dejan de trabajar la empresa
deja de ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta
parar la cadena de producción de una empresa cementera, por ejemplo?
Por lo tanto, las infraestructuras críticas y la automatización
industrial básicamente adolecen de lo siguiente: no hay segmentación
de la red, no hay antivirus, detectores de intrusos, registros,
auditorías, test de seguridad y penetración, no hay parches ni
actualizaciones (en serio), se usan sistemas operativos sin soporte,
como Windows 98, la seguridad se enfoca desde la oscuridad, no hay
autenticación ni cifrado, se usan configuraciones por defecto, no se
controlan los accesos remotos, no hay planes de recuperación ante
desastres (o, si los tienen, son inútiles).
-Has estado testeando estos sistemas, supongo, para saberlo...
-Hace unas semanas estuvimos probando una Planta Nacional de Energía
entera. La respuesta, entonces, es sí. Nos contratan para probar, en
todo el mundo, infraestructuras críticas nacionales y lo estamos
haciendo desde hace años. Yo pertenezco además a un grupo de
investigación internacional, Cristal (http://cristal.recursiva.org)
y estamos continuamente intercambiando experiencias y tendencias de
seguridad con otros investigadores.
-Estamos realmente en grave riesgo? Tienes algunos ejemplos?
-Las malas noticias son que estos incidentes se están dando ya en
sitios como servicios públicos de energía eléctrica, nuclear, gas
natural, producción de petróleo y sistemas de transmisión; empresas
de comunicaciones y tecnologías de la información, finanzas (banca,
valores, inversiones), salud (hospitales, instalaciones de
suministro de sangre, farmacéuticas), industria alimentaria,
servicios del agua, transporte, seguridad (armas químicas,
biológicas, radiológicas, nucleares, servicios de emergencia),
gobiernos (incluídas sus redes de información) y la industria
manufacturera.
-¿Tanto?
-Hay multitud de ejemplos. El primer inicidente que conocemos
sucedió en 1982 en Siberia, cuando hubo una explosión de tres
kilotones. El "software" que usaba una compañía petrolera tenía
fallos y no soportó la presión, de forma que el petróleo se encendió
y explotó. Otro triste indicente se dio el 10 de junio de 1999 en el
Parque de las Cataratas Whatcom, en Estados Unidos: una tubería de
acero de 16 pulgadas de diámetro, propiedad de la empresa Olympic
Pipe Line Company, se rompió y liberó unos 237.000 galones de
gasolina en un arroyo que fluyó a través de las cataratas hasta el
parque Bellingham, en Washington. Una hora y media después de la
ruptura, la gasolina se encendió y quemó unas 1,5 millas. Dos niños
de diez años y un joven de 18 murieron a consecuencia del accidente.
Hubo además ocho heridos y la planta de tratamiento de agua de la
ciudad de Bellinghamis fue seriamente dañada. Se estimó que los
daños ascendieron a 45 millones de dolares. Según el informe
oficial, "si el sistema informático de control hubiese respondido a
los comandos de los controladores de la compañía Olympics, se habría
evitado el accidente".
-Es cierto que todas las redes militares y críticas están separadas
de Internet, de forma que nadie pueda acceder a ellas?
-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que
el ejército norteamericano en Irak se comunica con sus altos mandos
en Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A
través de Voz IP! Así que, obviamente, las redes militares están
unidas a Internet. No olvides que hablamos de entornos muy grandes:
siempre se cometen errores, antes o después. Por supuesto no van a
instalar sus bases de datos más críticas en la web, pero los
atacantes siempre encontrarán otras rutas de ataque para conseguir
acceso interno a estas redes y saltar de sistema en sistema, hasta
encontrar lo que buscan.
-¿Lo mismo puede decirse para la OTAN?
-En la OTAN usan dos redes de datos diferentes: una "pública" y otra
"clasificada". Pero conozco a militares que hacen tests de
penetración en entornos militares, también de la OTAN, y la
situación no es muy bonita. Los chinos dicen que han hackeado el
ejército norteamericano y este lo admite oficialmente... ¿cómo
podemos estar tranquilo ante estas cosas?
-Han aumentado los ataques a las infraestructuras criticas en los
ultimos años?
-En el ejército, sí y exponencialmente. Hace ya años que el gobierno
chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña,
Alemania, Italia y otros. En mi opinión, quienes los realizan no son
"black hats", si con este término queremos referirnos a alguien que
está dentro de la comunidad hacker. Son soldados que conocen las
actuales técnicas de hacking, pero no pertenecen ni han crecido en
el mundo hacker.
-Hablando de tipos de hackers, tú participas en el "Hackers
Profiling Project", que ha recogido un montón de estadísicas sobre
los hackers. ¿Cuáles son las mas interesantes?
-La información que hemos recogido es realmente increible. Sobre
todo en tres puntos: edades, sexo y distribución geográfica. En
edades hemos visto que, en los últimos años, las edades en que los
chicos empiezan a hackear han bajado dramáticamente: en los 90
tenían entre 13 y 15 años, mientras que ahora algunos empiezan a los
8 y 9 años. Esto significa que, gracias a la difusión de Internet y
la documentación y herramientas de hacking, los chiquillos entran
antes en este mundo.
-Y en cuando al sexo?
-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la
comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%.
Hoy estamos en el 6%, lo que significa mucho. Desde hace unos años
estoy viendo cada vez más mujeres participar en eventos hacker y
estoy seguro de que esta cifra crecerá en los próximos años.
-En cuanto a distribución geográfica?
-En los 80, los hacker vivían en ciudades. Esto era así simplemente
porque no era fácil, en aquellos días, encontrar una tienda de
informática, o una línea telefónica dedicada, o una línea digital en
el campo y las ciudades eran la única solución. Hoy, Internet está
en todas partes y permite a la gente de ciudades pequeñas y pueblos
iniciar sus "carreras de hacker".
-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé
que es la típica pregunta)
-Sí, pero aún así está bien formularla. Obviamente la escena hacker
ha cambiado mucho. Hablamos de una evolución, de la pérdida de la
vieja ética mientras se creaba otra y de la mezcla entre el crimen
organizado y las actividades de hacking (la Rusian Business Network
y las organizaciones de código malicioso de San Petersburgo y Kiev
podrían darnos algunas lecciones).
-Qué tipos de hackers están aumentando y cuáles desapareciendo?
-Está claro que los malos chicos están aumentando, también el crimen
organizado de bajo nivel de países como Rumanía, Ucraina y algunos
de Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.
-¿Qué hay de los black hats que trabajan con los terroristas?
¿Existen realmente?
-El "ciberterrorismo" es una gran mentira, querida Merce. Primero,
porque simplemente no hemos visto aún a un auténtico terrorista
lanzar ataques IT. Por supuesto que muchos gobiernos sienten que el
"ciberterrorismo" es una nueva tendencia, una nueva "palabra clave"
para los próximos años, lo que significa que muchas instituciones
gubernamentales gastarán billones de dólares en este tema (el
presupuesto para 2010 del Departamento de Seguridad Interior de EEUU
incluye 40 millones de dólares para la seguridad nacional en
tecnologías de la información).
-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?
-En pocas palabras, los hackers éticos hacen investigación y siguen
una política de divulgación total o responsable, no dañan los
sistemas que hackean, no roban nada. Tienen "buen corazón" y su alma
nunca hará nada "malo". Por supuesto estas normas han cambiado con
los años, pero aún hoy los hackers éticos hacen sus propias
investigaciones, comparten los resultados con todo el mundo y,
básicamente, ayudan al mercado IT y a la comunidad mundial a elevar
el nivel de seguridad de todo el mundo.
-Tú eres un defensor del "full disclosure". ¿Sin límites?
-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones
en mi vida me ha sucedido que "1%". Esto pasa cuando las
vulnerabilidades que encuentras y tienes en tus manos pueden
impactar realmente en el mundo en el que vivimos. En estos casos, he
optado por una no-divulgación total. Aún hoy, poseemos las
vulnerabilidades y exploits que no hemos hecho públicos, ¡y siguen
funcionando después de tantos años!
-En un mundo con cada vez más inseguridad, con todas esas botnets,
virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué
hemos fallado?
-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos
fallado?, debería preguntarte. Las fuerzas del mal son más rápidas
que nosotros. Los enemigos no son hackers, son una mezcla de
criminales, ladrones y gente cualificada en IT. Están organizados
como empresas de verdad, con flujos de dinero e información. Los
expertos en IT pueden ganar algunas batallas, pero no toda la
guerra. No solos. Necesitamos el apoyo de las empresas de IT, las
fuerzas de la ley y el "underground" también. Y, como puedes
imaginar, no es nada fácil.
Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list