Dark Tangent: "Los hackers pueden ayudar a que internet sea más seguro"
La palabra hacker evoca todo tipo de imágenes temibles.
Pero Jeff Moss dice que el mundo necesita más piratas cibernéticos, ya que pueden hacer que las computadoras e internet sean espacios más seguros.
"Hacking es un conjunto de habilidades y es neutral. Puedes ser un hacker delincuente o puedes ser un hacker no delincuente", comenta Moss en la víspera de dos de las mayores conferencias de hackers en el mundo, Black Hat y DEF CON , fundadas por él. Ambas reuniones tienen como sede los casinos de las Vegas esta semana.
"Si esas son las personas que están más interesadas, probablemente sean las personas con las que quieres involucrarte".
Moss es un ejemplo de esa idea. Trabajó como hacker bajo el seudónimo Dark Tangent, que usó para irrumpir en los sistemas telefónicos y hacer llamadas gratis.
Ahora está en el Consejo de Asesoría de Seguridad Interna de Estados Unidos, y da asesoría y recomendaciones al gobierno federal en asuntos relacionados con la seguridad nacional.
Moss habla con CNN sobre todo lo que significa el hacking; desde los recientes ataques de los grupos LulzSec y Anonymous , de los cuales piensa que no son tan temibles, hasta lo que motiva a los piratas cibernéticos hoy en día.
La siguiente es una transcripción editada:
CNN: ¿Cómo comenzaron Black Hat y DEF CON?
Moss: Definitivamente las dos están interconectadas. DEF CON comenzó varios años antes que Black Hat, porque no había mercado para una convención de seguridad de tipo comercial. Todo era clandestino o mucho más informal, y cuando el internet comenzó a crecer, repentinamente las compañías buscaron información de seguridad. Un amigo mío sugirió que debería cobrar mucho dinero y hacer una versión profesional de DEF CON.
DEF CON abarca todo lo que es el hacking: ingeniería social y irrumpir, desarmar tu Xbox, ataques a las redes tradicionales y ataques al hardware todo los tipos , teorías de conspiración y todo.
Black Hat se enfoca mucho más a la información práctica de seguridad.
Nunca hicimos mucha publicidad y durante los primeros 10 años simplemente creció con publicidad de boca en boca. Nunca pensé en mí como un conferencista de seguridad, simplemente sucedió que doy conferencias a las que personas quieren asistir. No tengo listas de correo ni nada por el estilo.
CNN: ¿Cuál es tu formación? ¿Tienes una historia de piratería cibernética no es así?
Moss: Tuve mi primera computadora cuando tenía, no sé, 11 años. ¿10 años?
Me fascinó porque no eres lo suficientemente grande como para conducir un automóvil o para votar, pero puedes entablar una conversación adulta con otras personas de todo el país sobre temas que nunca has escuchado a tus padres o amigos mencionar, así que aquí está este mundo más amplio al que te expones y en donde la calidad de tus ideas y tus argumentos es lo que cuenta. Nadie sabía la edad que tenías o tu sexo.
Eso me influenció profundamente a una temprana edad porque el resto de mi vida lo que me importaba era la calidad de lo que se publica, no si tienes el pelo azul o tienes 99 años.
CNN: ¿Piensas que eso se ha perdido en la era de Facebook?
Moss: Una de las mejores partes de la cultura hacker es que tienes estos seudónimos y si realmente metías la pata y hacías algo malo o tomabas una mala decisión o insultabas a otras personas podías tener otra oportunidad. Tenías una especie de nuevo comienzo tan sólo con cambiar tu seudónimo.
Se gastaba una gran cantidad de energía para crear el seudónimo y tener amigos. Pero si querías borrar todo y empezar de nuevo, lo podías hacer. Ahora realmente ya no lo puedes hacer si sigues los términos y condiciones de Facebook. Tus equivocaciones te siguen por el resto de tu vida. No sé si esto es bueno para las personas que son jóvenes y comienzan a explorar internet.
CNN: ¿Cuál es tu seudónimo y alguna vez lo cambiaste?
Moss: Lo cambié a Dark Tangent. Tuve mi nuevo comienzo.
CNN: ¿Qué sucedió?
Moss: Bueno, no te lo voy a decir.
(Se ríe).
Pero tuve uno durante años, aprendí todo el movimiento y crecí con él. Y después quise cambiar para comenzar de nuevo, evadir a las personas con las que no quería que se me relacionara y no quería que ellos supieran quién era yo.
CNN: ¿Cuándo estabas en el mundo de los piratas cibernéticos, ¿qué es lo que hacías exactamente?
Moss: Al principio era desarmar e intentar quitar la protección de derechos de autor . En los primeros días, la protección de copias era muy mala. Si comprabas un juego para una computadora, luego comprabas otro drive para disco o algo, a menudo el juego dejaba de funcionar.
Las personas se interesaron en averiguar la manera en que trabajaba la protección de copias y la forma en como darle la vuelta. Algunas de las empresas de software te impedían hacer copias de respaldo, eso por supuesto hacía enojar a la gente y encontrabas maneras para evadir la protección de copias. A través de eso, conocí a personas que estaban explorando el sistema telefónico Ese fue el principio de mi viaje.
CNN: Últimamente hay muchas noticias sobre los hacktivistas, que dicen que filtran información para un bien o para dar una opinión política. ¿Qué piensas de ese argumento?
Moss: No creo que sus argumentos sean muy rigurosos o lógicos. Casi tengo la impresión de que se están intentando envolver en la bandera de hacktivismo. Si les preguntas: "¿Cuál es tu manifiesto, cuál es tu punto?". Si se lo preguntas a cinco personas, obtendrás cinco respuestas distintas. En mi opinión, es como una marca. Cualquiera puede ser parte de la marca, simplemente tienes que ponerte esa etiqueta.
Ellos podrían decir: 'Hey Sony, tenemos el email de tus clientes ', y no publicar esos correos electrónicos. No sé que ganan al hacerlo públicamente. La empresa es humillada de cualquier manera, ahora tienes a un grupo de gente inocente arrastrada con ella. Puedes dar tu posición sin tener que castigar a personas inocentes.
CNN: Esos grupos que surgieron recientemente, como Anonymous . ¿Te preocupan?
Moss: No. Sus ataques no son de última generación comparados con lo que nuestros conferencistas revelan en estas conferencias. Lo cual está bien. Simplemente es que los medios les están prestando atención.
Intenta platicar con el crimen organizado, ellos hacen mucho más daño y roban más información. Intenta platicar con una nación que roba los secretos de defensa de otro país.
CNN: Entonces, ¿qué te preocupa?
Moss: Es preocupante que las compañías tengan tantos problemas con organizaciones como LulzSec. Ese tipo de ataques son de esperar. Y si no te puedes defender de ellos, entonces no lo vas a hacer mejor con, digamos, el espionaje industrial, o un hacker más dedicado con presupuesto. Estos son ataques de paso.
CNN: ¿Cuál es el momento más memorable de Black Hat o DEF CON en el pasado?
Moss: Hay muchos. Uno fue el error DNS de Dan Kaminsky (ve en la revista Wired el perfil de Kaminsky , quien lo anuncia como el hombre que salvó internet). Eso captó mucha atención y realmente llevó a la gente a estar consciente del problema. Fue la primera vez que un parche enorme surgió de manera global y coordinada. Todos los involucrados se mantuvieron callados y no filtraron información. Nunca llegó a los malos antes de que todo el mundo tuviera el parche, y fue un gran éxito en diferentes niveles. Anunciarlo y hacerlo público en Black Hat fue muy asombroso. Eso realmente significó el crecimiento de los investigadores de seguridad.
El momento más memorable para mí fue cuando me demandaron ISS y Cisco por una conferencia. Nos mencionaron en la página principal del Wall Street Journal. Cuando las amigas de tu mamá empiezan a hablar de la convención o de seguridad, entonces sabes que comienzas a llegar a los titulares.
CNN: En estos eventos hay hackers, quienes posiblemente hagan cosas que son ilegales, tienes profesionales de seguridad, y gente del gobierno. ¿Existe alguna tensión entre estos grupos?
Moss: Si eres del crimen organizado realmente estás haciendo cosas verdaderamente malas, probablemente puedes encontrar en línea todo lo que necesitas (…); probablemente no asistas a conferencias que están llenas de federales y gente buena y personas que intentan captar a los bot-net. Estoy seguro que hay tipos malos ahí, pero pienso que no hay tantos como los que piensan.
Si eres un evasor fiscal, probablemente no asistas a una convención de auditores del ISR.
CNN: ¿Personalmente cómo manejas eso todos los días? Puedo ver eso llevarme a la paranoia en cierto punto, si piensas que en cualquier momento cualquier aparato electrónico se puede ver comprometido.
Moss: La paranoia es un temor irracional. No creo que sea paranoia cuando sabes por hechos que puede suceder, porque lo has visto en las demostraciones.
Si realmente no conoces los riesgos, ¿cómo puedes lidiar con ellos o como los puedes mitigar? Las únicas personas que hablan públicamente sobre esto son los investigadores de seguridad.
CNN: ¿Eres una persona privada?
Moss: Uso Facebook y Twitter y LinkedIn cuando tengo tiempo. Pero no me hago ilusiones. Asumo que cualquier cosa que publique en cualquier lado se registra públicamente por siempre. Esa es la naturaleza de la bestia. Si quieres mantener algo en privado, dilo en persona.
CNN: ¿Entonces esa es la única manera segura de comunicación?
Moss: Cuando comencé a trabajar con las personas de Washington, D.C., ellos decían: "Si lo puedes decir por teléfono en lugar de por email, dilo por teléfono. Y si lo puedes decir en persona en lugar de decirlo por teléfono, dilo en persona". Así es como funciona.
Si ves las leyes, siempre estás menos protegido con un mensaje de texto que con un mensaje de voz. Así que si es importante dilo en un mensaje de voz que en lugar de un mensaje de texto, porque tiene una menor protección legal.
CNN: ¿Qué hay sobre las personas que violaron la ley, deberían poder trabajar en la industria de seguridad o en el gobierno?
Moss: El Gobierno nunca ha contratado a nadie con un expediente criminal, no hay manera. Creo que depende de tu definición de hacker. Yo hablo de los que no son delincuentes.
CNN: ¿Cómo defines a un hacker?
Moss: Tomar la tecnología y hacer que realice cosas para las cuales no estaba diseñada.
CNN: ¿Qué hay de las personas que violan la ley?
Moss: A los delincuentes cibernéticos les llamo delincuentes cibernéticos. Hackear es una suerte de un grupo de habilidades, es neutral. Puedes ser un hacker criminal o puedes ser un hacker que no es criminal.
CNN: ¿Estuviste involucrado con el lado criminal?
Moss: Siempre me mantuve alejado de esas cosas. La gente que siempre corría peligro eran esas personas. Esa fue la división en el mundo de los piratas cibernéticos: Había personas explorándolo y personas que trataban de ganar dinero con él. Y generalmente me mantenía alejado de las personas que querían ganar dinero con esto.
CNN: Si tuvieras un consejo para los consumidores, acerca de cómo hacer su vida en línea más segura, ¿cuál sería?
Moss: Un consejo. Déjame ver. La forma en la que serán atacados es o a través de un archivo adjunto que descargan o un vínculo malicioso al que hacen clic. Así que deben tener mucho cuidado con lo que abren. Es el mismo consejo que damos por años: "Tienes que ser cuidadoso a dónde vas". Los malos son astutos. Hacen páginas web que se ven legítimas, te envían emails que parecen legítimos y debes tener mucho cuidado con eso.
Aquí hay uno: Si vas a utilizar la página de internet de tu banco, sal de tu browser, abre tu navegador desde cero, escribe la dirección URL de tu banco, haz lo que tienes que hacer, cierra el browser, vuelve a abrir tu navegador y después ponte a hacer lo que quieras hacer. Eso te evitará muchos problemas.
CNN: ¿Por qué? ¿Qué pasa?
Moss: Si tienes muchas ventanas abiertas y estás usando Java o algunas veces Flash y estás brincando de ventana en ventana y una de esas ventanas resulta ser la del banco, entonces algunas veces algún script malicioso de Java en otra ventana puede acceder a las pulsaciones de teclado y ver que tienes abierta tu cuenta bancaria en otra ventana y puede llevar esas pulsaciones de teclado a la otra ventana y secuestrar la cuenta, o apropiarse de la sesión.
Si la única sesión que se está ejecutando es la de Java de tu banco, entonces no hay una interferencia potencial. Y si cierras tu browser y limpias todas las cookies y limpias el estado y los datos de sesión entonces estarás bien.
Cuando veo a mis amigos con sus cuentas de email hackeadas y que enviando spam, se debe a que tienen demasiadas ventanas abiertas y dieron clic en un vínculo malicioso. Si hubieran usado Yahoo con Internet Explorer y hubieran hecho otra cosa con Firefox, habrían estado bien.
