laorejagigante

laorejagigante

domingo, 23 de septiembre de 2012

JUEVES, 20 DE SEPTIEMBRE DE 2012 EKOPARTY: ENCUENTRO DE EXPERTOS EN SEGURIDAD A LA INVERSA Vivir en el borde Cuando los hackers salen de la cueva para discutir y enseñar los problemas de vivir hiperconectados, inseguros y abiertos, en la Ciudad Cultural Konex. Durante el encuentro más grande de esta índole en Latinoamérica se habla de las últimas investigaciones de seguridad, se explica cómo intervenir teléfonos satelitales, celulares, bases de datos y se dan talleres para los menos expertos. Donde hackear se parece mucho a hacer.


 Por Esteban Magnani
“Alcanza con unos pocos tipos que tengan conocimiento en informática y tiempo para parar un país como la Argentina, o cualquier otro país desarrollado”, explica Francisco Amato, uno de los organizadores de Ekoparty, el encuentro de expertos en seguridad informática que se está realizando en Buenos Aires. Amato, un experto en la materia, recuerda que en Estonia el 27 de abril de 2007, miles de computadoras atacaron los principales servidores de este pequeño país vecino de Rusia. En Estonia casi todo se hace a través de Internet (por ejemplo, el 98 por ciento de las transacciones bancarias se hace por ese medio) por lo que al saturar sus redes el país quedó casi congelado: sin bancos, con problemas de transportes y abastecimiento, sin comunicaciones, entre muchas otras cosas. Los ciudadanos quedaron atrapados durante varios días en un mundo analógico que se arrastraba torpemente.
Lo que queda claro es que la seguridad informática ya no es un jueguito de adolescentes con problemas de sociabilidad, sino una cuestión de Estado. “Es que si controlás todo directa o parcialmente por Internet, desde las transacciones bancarias hasta los sensores del flujo de gas, hay puntos muy sensibles que se pueden atacar”, cuenta Amato, aunque luego aclara que hay al menos dos razones para quedarse razonablemente tranquilos (al menos por un tiempo): en Argentina, pese a ser uno de los países latinoamericanos con mayor penetración de Internet, aún no todo pasa por la fibra óptica, es decir que el mundo analógico (inalcanzable para los hackers) seguiría funcionando aun si hubiera un ataque brutal y masivo. La otra es que ya hay una comisión del Estado argentino que está trabajando en cuestiones de seguridad y él participa de ellas (ver “Entre el cyber y el espacio”).
Sobre estos temas y otros trabajan expertos en seguridad informática de todo el mundo desde el 19 de septiembre y hasta 21 en Ciudad Cultural Konex. “La Ekoparty empezó en 2001, pero en ese momento era más para juntarse con amigos virtuales y vernos las caras. A partir de 2007 lo empezamos a hacer todos los años y fue creciendo. Ahora es abierto y viene gente de toda América latina; algunos piden charlas específicas, hay un comité evaluador: o sea que se fue haciendo cada vez más grande. Ahora tenemos sponsors y empezamos a cobrar por el evento para que pueda llegar a ser lo que es hoy, uno de los más grandes de Latinoamérica.”

Seguridad insegura

Una de las charlas más esperadas y que ya tiene la atención de los medios internacionales es una suerte de remake superadora de algo que ya ocurrió en la Ekoparty de 2011. Durante ese evento, Juliano Rizzo y Thai Duong mostraron en vivo cómo las conexiones HTTPS, ésas que muestran un candadito al lado de la URL cuando uno entra a un sitio seguro (por ejemplo un banco), no eran tan seguras. El año pasado se colaron por un fallo en el sistema para tomar los cookies (esos programitas que nos identifican durante una sesión) de otros usuarios, desencriptarlos y utilizarlos para volver a conectarse haciéndose pasar por el hackeado. Es decir, que cualquiera podía quedarse con información de una tarjeta de crédito, con algo de conocimiento. La presentación obligó a muchas empresas a invertir en una actualización de sus sistemas y navegadores, pero ahora resulta que tampoco alcanza: los investigadores van a demostrar que también la nueva versión tiene fallas de seguridad. Así es que este año, cuenta Juliano Rizzo, “por segunda vez vamos a presentar un ataque contra el candadito de los navegadores. Por ejemplo, cuando estás usando una red inalámbrica en un bar lo que te protege de que alguien espiando acceda a tu correo, tus cuentas de banco o redes sociales es el protocolo HTTPS que se representa generalmente con el ícono de un candado en los navegadores”. Así planteado parece un poco peligroso que se haga una exhibición en vivo de cómo meterse en las cuentas de banco ajenas, por eso Juliano aclara: “Contactamos con anterioridad a los fabricantes de navegadores que ya tienen parches listos para solucionar el problema”.
Sebastián Muñiz y Alfredo Ortega son socios en otro hackeo que se exhibirá en la Ekoparty: “Lo que hicimos nosotros fue meternos con el sistema de un teléfono satelital y demostramos que es posible utilizar esa red para extraer datos de ahí, como pueden ser las coordenadas GPS, contactos, destinos de llamadas, etcétera. Mediante un canal de comunicación oculto, se los puede enviar a un atacante como lo hacen otros malware de smartphones. También queríamos mostrarle al público más técnico que hay mucha información interesante yendo y viniendo entre el satélite y el teléfono de la que por ahí no era consciente”. Obviamente, ellos también contactaron a la empresa para avisarle su descubrimiento y que pudieran mejorar la seguridad antes de dar a conocer la vulnerabilidad.
O sea que ya es raro que un hacker le baje los lienzos públicamente a una empresa sólo para conquistar la admiración de adversarios y a las chicas más lindas, como ocurría en otra época. “Yo empecé como todos, jugando, tratando de entrar en las compus de mis amigos”, cuenta Francisco Amato. “Lo que hacía era mandarles algo llamativo para que lo abrieran y así entrar en su computadora. Era más difícil porque todavía Internet no era tan extensa y había poca información. En esa época el que encontraba una vulnerabilidad la publicaba y avisaba a los servidores del problema. Pero ahora tampoco hay una formación específica para trabajar en seguridad informática: vos podés estudiar ingeniería en sistemas, programación y cosas así porque necesitás saber un poco de cada cosa. Tenés que saber atacar para poder entender cómo protegerte”. Así se llegó de a poco a la profesionalización del trabajo de los hackers, que ahora son contratados por los bancos u otras empresas para estudiar sus vulnerabilidades, algo que necesitan ciertas compañías para cumplir con certificaciones exigidas por organismos de control. Además hay empresas que compran las investigaciones para aprender a reforzar su propia seguridad. Y, por supuesto, también están los que ilegalmente pagan a alguien para robar información, como demuestran algunos juicios que están ocurriendo sobre escuchas ilegales o entrada en casillas de correo ajenas.

Ladrón que roba a ladrón

Vale la pena aclarar algo: si bien la formación en seguridad informática requiere ser un buen autodidacta, no alcanza con hacer un cursito online para transformarse en hacker. Por ejemplo, puede resultar muy tentador seguir las instrucciones de sitios que prometen ayudarnos a obtener la clave de wifi de un vecino inexperto para, ejem, obligarlo a “compartir” Internet. Lo que hacen este tipo de programas es captar las señales que llegan hasta nuestra computadora, seleccionar las que tienen seguridad más débil y encontrar su clave de acceso. Pero como explica Francisco: “Es muy probable que ese programa que te ofrecen todo tan generosamente venga con un script que te espíe también a vos”. Los mismo ocurre con muchos sitios que ofrecen gentilmente a novios/as celosos/as ayuda para conseguir la clave de Facebook o de mail de su pareja. Se sabe que los celos son malos consejeros y lo más probable es que el hackeador amateur termine hackeado.
En la Ekoparty también hay actividades para principiantes: talleres de la organización Buenos Aires Libre para armar antenas que le den más alcance a un receptor de wifi, o tareas para poder “romper” sistemas de seguridad más o menos simples con la ayuda de tutores. Además, desde el primer día, se hace una competencia de distintos niveles, por grupos e individuales, que buscan ver quiénes son mejores a la hora de defenderse y atacar virtualmente de distintos sitios. El que más puntos tenga ganará la competencia.
Y el final del evento lo dará una actividad particular, cuenta Francisco Amato: “Este año también vamos a cerrar de nuevo con el trencito de la alegría: recorremos la ciudad mientras mapeamos los wifi que encontramos, registrando el nombre y el protocolo que usan. Lo que podemos ver es cómo a medida que va pasando el tiempo hay muchas más redes en la ciudad, pero menos están abiertas. Y se está usando cada vez más WPA2, un sistema más seguro para protegerlas. De paso recorremos lugares turísticos para que los extranjeros conozcan la ciudad”.

No hay comentarios:

Publicar un comentario