Raoul Chiesa

From Hack Story

Jump to: navigation, search
Staff Zap (Under Construction)black.jpg

http://star-techcentral.com/tech/story.asp?file=/2006/10/3/itfeature/15592912&sec=itfeature

October 3, 2006

Whats in a hacker?

TWENTY years ago, Raoul Chiesa went by the nickname nobody -- but at 13 years old, he was already known amongst the security community as one of the first hackers in Italy.

Now, Chiesa is the director of communications at the Institute for Security and Open Methodologies (ISECOM) and he is on a mission to uncover the mysteries of hacker types. According to Chiesa, hackers were generally unknown to people and ignored by researchers back when the usage of computers became popular in the eighties.

Today, researchers and analysts are becoming more interested in hackers, he said, though these parties often have a misconception about hackers because they do not have proper research methods to define the group.

In their minds, there is only one type of hacker, who is seen as physically ugly, have bad moral values and are unethical or anarchic in nature, he said.

Unhappy with the stereotype, Chiesa and project partner Dr. Stefania Ducci, who works for the United Nations Interregional Crime and Justice Research Institute, embarked on a project called Hacker Profiling Project (HPP) to discover the typologies of hackers basically how different hacker types think and function.

Chiesa said that profiling hackers are important because of the rise of high-tech crimes today.

There is a continuous increase of dependence between national stability and IT security issues. There are dangerous synergies among technologically advanced personalities, classic criminality and terrorism, Chiesa said. But often, cybercrime is still being analysed in the wrong manner.

Basically, we want to help the government and police realise and understand the different types of hackers, so that they will know when to pursue an actual criminal and when not to waste resources chasing after script-kiddies, he said.

The HPP aims to analyse the hacking phenomenon from four principal perspectives: technological, social, psychological and criminological.

There are eight phases in the HPP (see story Delving deep into the hacker culture, In.Tech Sept 14), one of which involves going directly to the source letting hackers answer questionnaires about themselves.

Sorting hackers

Chiesa said the results from the questionnaires, collected since the HPP kicked off in September 2004, revealed that hackers are generally intellectually brilliant, creative, decided and resolute.

Those with a low-level of skills usually target easier operating systems, such as Windows or Linux, while the more elite hackers prefer to stimulate their minds with *BSD, Solaris, HP/UX, IOS or Symbian operating systems.

If these hackers manage to break into a system, they would mostly lay the blame on its system administrators or designers for not keeping their own turf secure.

For bona fide hackers, hacking is used as a technique or way of life to satisfy curiosity or to challenge themselves, Chiesa said. Or it can be used as a tool of power to raise peoples awareness on political and social problems.

Generally, hackers are motivated by their love for knowledge, Chiesa found, but some are motivated by lucrative purposes so they may practice phishing or get involved in industrial espionage.

Many hackers are also rebels, especially towards authorities and people they consider narrow-minded or a menace to civil liberties.

The different types

According to the study, there are nine types of hackers, which are: Wannabe lamer, script-kiddie; cracker; ethical hacker; the quiet, paranoid and skilled hacker (QPS); cyber-warrior; industrial spy; government agent; and military hacker.

The wannabe lamer, usually aged from nine to 16, are the most harmless of the lot.

They generally claim to be a hacker to brag or to be seen as cool, though most are rather clueless about what hacking really is.

Script-kiddies (10-18 years old), however, are a little more informed in that they know how to search and download hacking tools but most have limited knowledge on how these tools work.

The harm they cause is mostly low impact, but they would do it anyway to either rebel or attract attention from the mass media.

Ethical hackers (15-50 years old), who are usually part of hacker communities, would probably frown on this. Seen as the most selfless of the hacker lot, they are usually motivated by curiosity and generally have altruistic intentions.

Ethical hackers would usually advise system administrators if they find vulnerabilities in a companys security system, but would generally do that only after communicating their discoveries with peers in their underground community first.

Also, this group would likely not cause damage to a violated system but instead help defend and secure it against attacks.

Crackers (17-30 years old), on the other hand, may possess less technical skills than the ethical hacker, but are viewed as a bigger threat because they have malicious intentions to cause damage.

Like script-kiddies, they may hack to attract attention or to demonstrate their prowess.

The QPS (16-40 years old), like their name suggests, are quite the opposite. Preferring to keep a low profile, they possess high technical skills that allow them to enter and leave computer systems undetected.

This type might hack into a system because there is something that he needs, Chiesa noted. The QPS might be more dangerous than ethical hackers as they have their own agenda. Theyre the type who you will never realise have even entered your system.

More dangerous than crackers with malicious intent, however, are cyber-warriors.

This group, aged 18-50 years old, are the ones who are into hacking solely for financial gain.

Industrial spies (22-45 years old) are also motivated by similar means, in that they are professionally employed by businesses to hack for profit.

Low profile

Higher on the hacker chain are government agents and military hackers.

These groups, usually aged 25-45, are hired by the government to monitor, defend or provide counter-attacks on a national level.

As it is unlikely that these last few low-profile groups would voluntarily take part in the HPP questionnaire, Chiesa said he collected data about them through the use of honeypots traps designed to appear like it is part of a legitimate network, but is not.

But these findings are not the final conclusion, as we are still in the process of collecting data, Chiesa added. We still have a lot of work to do and we need support. HPP is currently self-funded and based on independent research methodologies.

--

http://ww2.grn.es/merce/2009/chiesa.html

06/15/09

RAOUL CHIESA, ASESOR DE LA ONU:

"LA SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"


Mercè Molist Raoul Chiesa es un ex-hacker italiano que trabaja como asesor de las Naciones Unidas desde hace cinco años. Es el jefe técnico en todo lo que concierne a ciberseguridad, dentro del Instituto Interregional de Investigación sobre Crimen y Justicia (UNICRI). Su cometido es investigar la seguridad de las infraestructuras nacionales críticas en todo el mundo y, según dice, pocas llegan al aprobado. Avisa que sus opiniones son a título personal y no del UNICRI.

-¿Quién eres tú?

-Un ciudadano de italia, nacido el 3 de julio de 1973. Vivo en Torino. Crecí rodeado de montañas, en una familia de clase media. Mi padre lleva una fábrica de automatización, por lo que crecí entre máquinas, aceite y muchas horas de trabajo. Creo que esta ha sido una de las razones que me llevó a alejarme de las cosas mecánicas y dedicarme a los ordenadores.


-¿A qué edad empezaste a hackear?

-A los 15 empecé a estudiar informática en la escuela. Pero desde que tenía... diría que 9 o 10 años empecé a jugar con videojuegos. Cuando tenía 12, mis padres me compraron mi primer "ordenador personal", un Commodore VIC-20. Después de algunos meses jugando a videojuegos, MUY caros para una chiquillo, decidí intentar crackear sus protecciones. A los 13 años compré mi propio Commodore C-64 y un "adaptador telemático" (el módem del abuelo ;). Aquí empezó todo: BBS, llamadas internacionales, tarjetas para llamadas internacionales, blue-boxing... Así no tuve que pagar nunca más facturas exorbitantes a la compañía telefónica.

-¿Cómo recuerdas aquellos años?

-Sin duda, aquellos tiempos, entre mis 13 y 20 y pico años, fueron los mejores de mi vida. Bàsicamente, empecé a hackear a veces solo y a veces con amigos en línea, dependiendo del objetivo (el sistema operativo del ordenador objetivo), la hora del día o de la noche y así. A medida que pasaron los años, fuí prefiriendo hackear solo... Creo que es lo normal. Quiero decir: cuando eres un newbie no sabes mucho, no tienes el conocimiento necesario. Es por eso que practicar el hacking con amigos estaba bien para mi, ya que cada uno tenía el conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro completo. La escena hacker en aquellos años (1986-1995) era increíble. En primer lugar, no existía el concepto de "crimen": hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo sucedió en muchos países europeos. Por tanto, podías sentir la magia, aquella increible sensación gracias a la cual era capaz, desde mi pequeña habitación de adolescente, de chatear o hablar por voz con gente totalmente desconocida que vivían en el norte de Europa, en los Estados Unidos, en Australia... Era algo parecido a cuando yo era un niño pequeño y mi padre hablaba, a través de las ondas cortas, con otras personas apasionadas por la Banda Ciudadana. Era una sensación parecida.

-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de inflexión?

-Lo recuerdo perfectamente. Sucedió cuando pasé de las zonas de chat "estándar" a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec en Alemania, aquello eran auténticas "cuevas de hackers", en las que la gente pertenecía a la crema, a un grupo de élite. Y, de repente, me dí cuenta de que era parte de este mundo, que mi vida pertenecía a él. Aún hoy estoy en contacto con esa gente y algunos están entre mis mejores amigos. Crecimos juntos, algo nos une. Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que "los humanos no verán en sus vidas", aún tenemos secretos que guardamos... Es como una hermandad de sangre.

-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con eso?

-Básicamente conozo las redes X.25 tan bien porque no tenía otra salida. En aquellos años, la Internet no era accesible como lo es hoy: sólo unos pocos centros de investigación, unas pocas universidades y, por supuesto, el ejército norteamericano la usaban. Antes de la Internet de las organizaciones, tanto gubernamentales, institucionales como multinacionales, teníamos que depender de las redes mundiales X.25 para conectar los unos con los otros. Aquí fue donde empecé, ese era mi mundo. Posiblemente, esta es la razón de que, hoy, sea considerado uno de los 4 o 5 expertos mundiales que "conocen el percal" en este tema específico. Tener un acceso X.25 era también la única forma de poder hablar con mis amigos hackers, así como de "saltar" a Internet desde un ordenador "dual-homed" X.25/IPv4.

-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos, redes de satélites y más? Me parece algo muy difícil...

-En aquellos tiempos, eras realmente capaz de "encontrar" cualquier cosa en X.25, como pasa hoy con Internet. Era muy común encontrarte sistemas de bases de misiles, telecos, bancos, gobiernos. Y, sobre todo, todo era tan inseguro. La seguridad de la información era algo nuevo, los administradores de sistemas no sabían que adolescentes del otro lado del mundo podían estar allí acechando, esperando sus errores para hackear en sus sistemas. Sólo para que lo entiendas: a finales de los 80 yo había hackeado toda la red WAN interna de Telefónica y tenía el control total de todo el Sistema Nacional de Telecomunicaciones Español. Esto sucedió con casi todos los operadores de telecomunicaciones del mundo, en aquellos años, todos estábamos hackeando telecos porque era divertido, fácil y útil. Y, por supuesto, porque "los hackers aman las telecos" ;)

-¿Hoy es tan fácil hackear redes X.25?

-Bueno, si sabes cómo hacerlo, la respuesta es sí. Te cuento porqué: en el pasado, todos los hackers dependían de X.25. Hoy esta gente ya no hackea (la mayoría): se han pasado a la seguridad como un trabajo full-time, están en empresas de seguridad y ya no hackean, o simplemente están haciendo otras cosas. Hoy en día los hackers crecen con Internet y Google. No pueden hackear redes X.25 porque son otra cosa. Por tanto, desde este punto de vista la respuesta es que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo sé, mi empresa es una de las pocas en el mundo capaz de ofrecer tests de penetración basados en X.25.

-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de hacker?

-Solía hackear en unas 134 redes X.25 en todo el mundo, lo que significa más de 100 países. Nunca contabilicé los sistemas hackeados, simplemente porque serian cientos de miles. Recuerdo que, después de 1993, simplemente paré de anotar todos los sistemas que era capaz de hackear: eran demasiados, tenían 5 agendas y 10 blocs de notas llenos totalmente de direcciones X.25, nombres de usuario y contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo para escribir todas las notas que el tiempo que necesito para entrar en estos sistemas".

-En tu biografía oficial puede leerse: "Después de una serie de sensacionales interferencias, tanto en telecos como en otras instituciones militares, gubernamentales y financieras...". ¿Cuáles fueron esas sensacionales interferencias? ¿Qué hiciste?

-Oh.. bueno... Como he dicho, es imposible hacer una lista completa. Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint Communications..), hackeé en la red global del ejército norteamericano, bancos, bolsas de valores... La frase "sensacionales interferencias" es de la unidad especial que me detuvo años después. Los policías estaban muy impresionados por la cantidad de conocimiento que tenía en mi cabeza, por mi juventud y por el hecho de que un adolescente controlase las ¾ partes de todo el mundo IT y TLC de aquellos años.

-También en tu biografía oficial se dice: "Fue oficialmente reconocido como uno de los miembros de la escena hacker europea y norteamericana por autoridades internacionales en 1995". No entiendo: ¿qué autoridades internacionales te dicen si eres un hacker o no?

-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas autoridades internacionales que, de alguna forma, pueden "decir al mundo" que estás entre los top-one son dos: el FBI y la Interpol. Por tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir es que, en estos años, cuando tu eres un hacker europeo, ser perseguido por el FBI significa que no eres un "script-kiddie", sino que eres capaz de "cruzar las fronteras" de tu país, que estás haciendo realmente un montón de ruido, aunque seas cauto y paranoico.

-Te detuvieron en 1995. ¿Por qué?

-Entré en Bankitalia, la agencia espacial italiana, la ENEA (National Body for Alternative Energy) y otras 50 compañías y les dije que todo el sistema italiano no era seguro. Podría decirse que no les gustó mucho.

-¿Fuiste a la cárcel?

-No, nunca he estado en la cárcel, ni un solo día. Probablemente porque tanto los fiscales como los jueces se dieron cuenta de que yo era un adolescente muy curioso, bastante listo, que se aburría mucho en la escuela y descubrió el hacking como un estilo de vida. Como no había dañado los sistemas informáticos que había penetrado, y no había robado dinero, decidieron que, después de todo, era un buen chico. Además, fuí el primer caso hacker del país: los legisladores no sabían muy bien cómo manejar aquello, los abogados no tenían ni idea de qué les estaba hablando... De alguna forma, había sido un gran lío.

-¿Fue entonces cuando dejaste de hackear, por miedo, y te convertiste en un consultor de seguridad?

-No fue por miedo. Esto es algo que, típicamente, les pasa a dos categorías de hackers, cuando son pillados: los "script-kiddies" y los hackers éticos. Pero por diferentes razones. Los "script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente, les asusta el arresto, la policía y lo demás: es por eso que dejan sus actividades de hacking. Los hackers éticos simplemente crecen y entienden que, si siguen con el hacking, la próxima vez no será tan fácil como la primera. Por último y no menos importante, la historia es normalmente la misma: en todo el mundo viejos hackers saltan al mundo de la seguridad informática. Después de todo, este es nuestro mundo, conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por qué no?

-¿De verdad crees que alguien puede dejar de ser un hacker?

-No y sí. No porque eres un hacker dentro de tu alma: no es sólo tecnología, es la forma como ves las cosas, si crees o no lo que "ellos" te cuentan. Me gusta decir que puedes ser un hacker incluso sin saber cómo usar un PC, puedes ser un hacker de motores, de leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu pregunta también es un sí: ahora mismo tengo 35 años. Básicamente, si quisiera realizar ataques de hacking hoy en día probablemente sería un idiota. Crecí y evolucioné, igual que todos los seres humanos de este mundo. Lo que intento decirte es que es normal, cuando creces, parar de perder tu tiempo y de cometer errores: esto es exactamente lo que hice. Creo, después de todos esos años, que la detención fue, de alguna forma, una especie de suerte, que me permitió darme cuenta de lo que estaba haciendo, de lo que era capaz de hacer y de a qué riesgos me había expuesto.


-¿Cuál es tu trabajo como consultor de las Naciones Unidas?

-Empecé a trabajar con el Instituto Interregional de Investigación sobre Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco años. Soy el jefe técnico en todo lo que concierne al cibercrimen: llevamos diferentes proyectos, básicamente dedicados a investigación y desarrollo en diversas áreas, como formación en informática forense para fuerzas de la ley (usando software abierto), infraestructuras nacionales críticas, etc. Aquí hay más información: http://www.unicri.it/wwd/cyber_crime/index.php. El UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling Project" (http://hpp.recursiva.org)

-Cuáles son las infraestructuras peor defendidas?

-Si hablamos de países, siempre me ha sorprendido el alto nivel de inseguridad que puedes encontrar en países como Corea del Sur y Japón. Es increible que países tan "hi-tech" no sean capaces de manejar su seguridad informática. Si, por otro lado, hablamos de áreas económicas y no de países, las empresas de telecomunicaciones son las menos inseguras de todas. Ahora mismo, mientras te respondo, nos enteramos de que T-Mobile ha sido hackeada por enésima vez.

-Cuál es el estado del arte, en general, de la seguridad de las infraestructuras críticas? Cuáles son los más grandes agujeros de seguridad?

-No estamos hablando de agujeros sino de ignorancia. Estas infraestructuras y, en general, todo el mundo de la automatización industrial, ahora mismo está como estaban las tecnologías de la información hace diez años. Para ponerte un ejemplo, no usan antivirus... porque puede frenar la producción de los ordenadores. Al ser ordenadores industriales, si dejan de trabajar la empresa deja de ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta parar la cadena de producción de una empresa cementera, por ejemplo? Por lo tanto, las infraestructuras críticas y la automatización industrial básicamente adolecen de lo siguiente: no hay segmentación de la red, no hay antivirus, detectores de intrusos, registros, auditorías, test de seguridad y penetración, no hay parches ni actualizaciones (en serio), se usan sistemas operativos sin soporte, como Windows 98, la seguridad se enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan configuraciones por defecto, no se controlan los accesos remotos, no hay planes de recuperación ante desastres (o, si los tienen, son inútiles).

-Has estado testeando estos sistemas, supongo, para saberlo...

-Hace unas semanas estuvimos probando una Planta Nacional de Energía entera. La respuesta, entonces, es sí. Nos contratan para probar, en todo el mundo, infraestructuras críticas nacionales y lo estamos haciendo desde hace años. Yo pertenezco además a un grupo de investigación internacional, Cristal (http://cristal.recursiva.org) y estamos continuamente intercambiando experiencias y tendencias de seguridad con otros investigadores.

-Estamos realmente en grave riesgo? Tienes algunos ejemplos?

-Las malas noticias son que estos incidentes se están dando ya en sitios como servicios públicos de energía eléctrica, nuclear, gas natural, producción de petróleo y sistemas de transmisión; empresas de comunicaciones y tecnologías de la información, finanzas (banca, valores, inversiones), salud (hospitales, instalaciones de suministro de sangre, farmacéuticas), industria alimentaria, servicios del agua, transporte, seguridad (armas químicas, biológicas, radiológicas, nucleares, servicios de emergencia), gobiernos (incluídas sus redes de información) y la industria manufacturera.

-¿Tanto?

-Hay multitud de ejemplos. El primer inicidente que conocemos sucedió en 1982 en Siberia, cuando hubo una explosión de tres kilotones. El "software" que usaba una compañía petrolera tenía fallos y no soportó la presión, de forma que el petróleo se encendió y explotó. Otro triste indicente se dio el 10 de junio de 1999 en el Parque de las Cataratas Whatcom, en Estados Unidos: una tubería de acero de 16 pulgadas de diámetro, propiedad de la empresa Olympic Pipe Line Company, se rompió y liberó unos 237.000 galones de gasolina en un arroyo que fluyó a través de las cataratas hasta el parque Bellingham, en Washington. Una hora y media después de la ruptura, la gasolina se encendió y quemó unas 1,5 millas. Dos niños de diez años y un joven de 18 murieron a consecuencia del accidente. Hubo además ocho heridos y la planta de tratamiento de agua de la ciudad de Bellinghamis fue seriamente dañada. Se estimó que los daños ascendieron a 45 millones de dolares. Según el informe oficial, "si el sistema informático de control hubiese respondido a los comandos de los controladores de la compañía Olympics, se habría evitado el accidente".

-Es cierto que todas las redes militares y críticas están separadas de Internet, de forma que nadie pueda acceder a ellas?

-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que el ejército norteamericano en Irak se comunica con sus altos mandos en Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través de Voz IP! Así que, obviamente, las redes militares están unidas a Internet. No olvides que hablamos de entornos muy grandes: siempre se cometen errores, antes o después. Por supuesto no van a instalar sus bases de datos más críticas en la web, pero los atacantes siempre encontrarán otras rutas de ataque para conseguir acceso interno a estas redes y saltar de sistema en sistema, hasta encontrar lo que buscan.

-¿Lo mismo puede decirse para la OTAN?

-En la OTAN usan dos redes de datos diferentes: una "pública" y otra "clasificada". Pero conozco a militares que hacen tests de penetración en entornos militares, también de la OTAN, y la situación no es muy bonita. Los chinos dicen que han hackeado el ejército norteamericano y este lo admite oficialmente... ¿cómo podemos estar tranquilo ante estas cosas?

-Han aumentado los ataques a las infraestructuras criticas en los ultimos años?

-En el ejército, sí y exponencialmente. Hace ya años que el gobierno chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña, Alemania, Italia y otros. En mi opinión, quienes los realizan no son "black hats", si con este término queremos referirnos a alguien que está dentro de la comunidad hacker. Son soldados que conocen las actuales técnicas de hacking, pero no pertenecen ni han crecido en el mundo hacker.

-Hablando de tipos de hackers, tú participas en el "Hackers Profiling Project", que ha recogido un montón de estadísicas sobre los hackers. ¿Cuáles son las mas interesantes?

-La información que hemos recogido es realmente increible. Sobre todo en tres puntos: edades, sexo y distribución geográfica. En edades hemos visto que, en los últimos años, las edades en que los chicos empiezan a hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15 años, mientras que ahora algunos empiezan a los 8 y 9 años. Esto significa que, gracias a la difusión de Internet y la documentación y herramientas de hacking, los chiquillos entran antes en este mundo.

-Y en cuanto al sexo?

-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy estamos en el 6%, lo que significa mucho. Desde hace unos años estoy viendo cada vez más mujeres participar en eventos hacker y estoy seguro de que esta cifra crecerá en los próximos años.

-En cuanto a distribución geográfica?

-En los 80, los hacker vivían en ciudades. Esto era así simplemente porque no era fácil, en aquellos días, encontrar una tienda de informática, o una línea telefónica dedicada, o una línea digital en el campo y las ciudades eran la única solución. Hoy, Internet está en todas partes y permite a la gente de ciudades pequeñas y pueblos iniciar sus "carreras de hacker".

-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé que es la típica pregunta)

-Sí, pero aún así está bien formularla. Obviamente la escena hacker ha cambiado mucho. Hablamos de una evolución, de la pérdida de la vieja ética mientras se creaba otra y de la mezcla entre el crimen organizado y las actividades de hacking (la Rusian Business Network y las organizaciones de código malicioso de San Petersburgo y Kiev podrían darnos algunas lecciones).

-Qué tipos de hackers están aumentando y cuáles desapareciendo?

-Está claro que los malos chicos están aumentando, también el crimen organizado de bajo nivel de países como Rumanía, Ucraina y algunos de Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.

-¿Qué hay de los black hats que trabajan con los terroristas? ¿Existen realmente?

-El "ciberterrorismo" es una gran mentira, querida Merce. Primero, porque simplemente no hemos visto aún a un auténtico terrorista lanzar ataques IT. Por supuesto que muchos gobiernos sienten que el "ciberterrorismo" es una nueva tendencia, una nueva "palabra clave" para los próximos años, lo que significa que muchas instituciones gubernamentales gastarán billones de dólares en este tema (el presupuesto para 2010 del Departamento de Seguridad Interior de EEUU incluye 40 millones de dólares para la seguridad nacional en tecnologías de la información).

-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?

-En pocas palabras, los hackers éticos hacen investigación y siguen una política de divulgación total o responsable, no dañan los sistemas que hackean, no roban nada. Tienen "buen corazón" y su alma nunca hará nada "malo". Por supuesto estas normas han cambiado con los años, pero aún hoy los hackers éticos hacen sus propias investigaciones, comparten los resultados con todo el mundo y, básicamente, ayudan al mercado IT y a la comunidad mundial a elevar el nivel de seguridad de todo el mundo.

-Tú eres un defensor del "full disclosure". ¿Sin límites?

-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones en mi vida me ha sucedido que "1%". Esto pasa cuando las vulnerabilidades que encuentras y tienes en tus manos pueden impactar realmente en el mundo en el que vivimos. En estos casos, he optado por una no-divulgación total. Aún hoy, poseemos las vulnerabilidades y exploits que no hemos hecho públicos, ¡y siguen funcionando después de tantos años!

-En un mundo con cada vez más inseguridad, con todas esas botnets, virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué hemos fallado?

-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos fallado?, debería preguntarte. Las fuerzas del mal son más rápidas que nosotros. Los enemigos no son hackers, son una mezcla de criminales, ladrones y gente cualificada en IT. Están organizados como empresas de verdad, con flujos de dinero e información. Los expertos en IT pueden ganar algunas batallas, pero no toda la guerra. No solos. Necesitamos el apoyo de las empresas de IT, las fuerzas de la ley y el "underground" también. Y, como puedes imaginar, no es nada fácil.



Copyright 2009 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Hackstory.es - La historia nunca contada del underground hacker en la Península Ibérica.