Los hackers que sabían demasiado…

Posted by Dabo on abril 10, 2005
Seguridad Informática

Un hacker (ver wikipedia.org) es un experto, o aficionado, que busca
defectos para mejorar la seguridad y prevenir posibles errores futuros
.
Pekka Himanen en su excelente libro "La ética del hacker", propone
incluso hacer extensiva esta definición a ámbitos más allá de la
informática (entusiastas, autodidactas, o curiosos). A los "hackers
malos" se les debe llamar "crakers".
..


Así pues, ¿por qué titulo este artículo "Los hackers que sabían demasiado"? ¿Se puede "saber demasiado"?



Hay muchos ejemplos de hackers que, por haber descubierto lo que otros
no querían que se supiese (o incluso porque se pensó que lo hicieron),
tuvieron que pagar un precio muy elevado. El documental "Freedom
Downtime"
(producido por 2600) nos relata varios casos:


"Phiber Optik" (Mark Abene) fue arrestado por primera vez en 1990
(y todo su material informático confiscado) tras la caída del sistema
telefónico de AT&T. Posteriormente se demostró que fue un fallo del
software de la empresa, y que ningún hacker tuvo nada que ver, pero
este incidente desencadenó una corriente de pánico entre las
autoridades hacia los hackers.


En 1991 fue arrestado de nuevo y acusado de "manipular ordenadores y
allanamiento informático en primer grado" (de lo que se declaró
inocente) y de una falta de "robo de servicio por no pagar llamadas
telefónicas" (de lo que se declaró culpable) por lo que fue sentenciado
a 35 horas de trabajos comunitarios.


En diciembre de ese mismo año fue arrestado de nuevo (en plena paranoia
de las autoridades por el caso AT&T, que tuvo como consecuencia
multitud de redadas e investigaciones como las operaciones "Sundevil" y
"Crackdown Redux")
, y fue acusado en julio de 1992 de 11 delitos. Se
declaró inocente de 9 de ellos, y culpable de 2 ("conspiración y acceso
no autorizado a computadoras de interés federal"). "Conspiración" se
definió como darle a un amigo información de cómo desviar una llamada y
acceder a la página de Educational Broadcasting Company y dejarles un
mensaje. "Acceso no autorizado a computadoras de interés federal" se
definió como acceso no autorizado a los ordenadores de Southwestern
Bell, causando 370.000$ en daños. Responsables de la propia
Southwestern Bell reconocen en el documental que no se causó daño
alguno
. Por ello la fiscalía pidió 50 años de cárcel y dos millones y
medio de dólares de multa. Fue sentenciado (pese a no haber pruebas y
ser un menor) a un año y un día de prisión, 3 años de libertad
condicional, y 600 horas de trabajo comunitario. El propio juez
reconoció que se trataba de una sentencia "para dar ejemplo". Salió de
prisión en noviembre de 1994.


"Bernie S." (Edward Cummings) fue acusado de poseer un marcador de
teléfono modificado (caja roja) y un ordenador con software para
modificar un teléfono móvil. Por ello fue a la cárcel desde el 14/3/95
hasta el 13/10/95. Salió en libertad condicional.

El 12/1/96, en la vista oral de su libertad condicional, se le
acusó de "manipular pruebas" (por quitar las pilas a un marcador de
teléfono, cosa que en realidad hizo un amigo que iba con él). Además el
agente del Servicio Secreto Tom Varney le dijo al juez que consideraba
a Bernie S. un gran riesgo para la sociedad, ya que en su casa habían
encontrado libros como el "Anarchist Cookbook", un listado de
frecuencias y códigos del Servicio Secreto disponibles libremente en
Internet y una sustancia que parecía explosivo C4 (aunque reconoció que
en realidad sólo era material de dentistas para hacer empastes). Por
ello el juez lo envió a prisión hasta el 13/9/96, y le impuso una
fianza de 250.000$
(ese mismo juez, ese mismo día, impuso una fianza de
50.000$ a una persona reincidente que atropelló y mató a otra mientras
conducía ebrio). Durante el tiempo en prisión (pasó por varias, la
mayoría de máxima seguridad) fue apaleado por otro prisionero, le
negaron analgésicos y medicación, lo encerraron en una celda de
aislamiento la mayor parte del tiempo… Todo oficialmente por quitar
una pila a un marcador de teléfonos.

En realidad, como relata él mismo en el documental, la verdadera
razón de esta campaña de difamación y abuso a la que ha sido sometido
fue que publicó en su web las fotos de dos agentes del servicio secreto
registrando su despacho, uno de ellos metiéndose el dedo en la nariz.
Ese agente era Tom Varney.


Kevin Mitnik (quien nos enseñó a muchos lo que es la ingeniería
social)
estuvo 5 años en prisión por, supuestamente, haber accedido a
ordenadores de empresas norteamericanas y haber causado millones de
dólares en daños (daños que nadie fue capaz de probar, pero no fue
necesario: el juez estaba tan presionado, y asustado, como reconoció
posteriormente, que hasta le prohibió acercarse a un teléfono público).
Kevin sólo quería aprender cómo funcionaban dichos sistemas.


Pero hay quien ha pagado un precio aun mayor por acceder a un
conocimiento que "no debía" (¿no debería ser todo el conocimiento
susceptible de ser accedido y compartido, mientras no se trate de datos
personales?).



Boris Floricic ("Tron")
, era un alemán que lo sabía todo sobre códigos
de tarjetas de crédito y telefónicas, y que inventó un teléfono
encriptado que superaba las medidas de vigilancia de las redes
policiales y de espionaje internacionales (como Echelon). El 17 de
octubre de 1998 su familia denunció su desaparición. La policía no
empezó a buscarlo hasta después de ponerle una denuncia por fraude
informático, para poder así requisar su portátil y archivos. Apareció
muerto 8 días después (además, no pudo estar colgado "suicidado" 8 días
en un parque público sin que nadie le viese). Entre sus pertenencias
encontraron una carta de NDS (la empresa de Peter Murdoch -propietario
de News Corporation- que hace las tarjetas de los terminales de
televisión satélite digital). Canal Plus acusó a NDS de intentar
crackear, con la ayuda de "Tron", Nagra (la smart card del grupo suizo
Kudelski) para que EchoStar cambiara de proveedor de smart cards por la
falta de seguridad. Nunca llegaremos a saber qué es lo que tramaban.
Pero sí lo que había detrás de todo ello: mucho dinero y poder.


Hay muchos más casos de hackers encarcelados injustamente, o
asesinados. A algunos de ellos los conocí personalmente (online) y sé
que eran todos personas interesadas en aprender, no en hacer el mal a
nadie. ¿Por qué fueron a por ellos? Porque sabían demasiado, y
sobretodo porque en su paranoia no se lo contaron a nadie.



Así que el mejor consejo que se le puede dar a un hacker que trabaja
sobre algo interesante pero potencialmente peligroso
(como las emisoras
de radio que desde hace décadas emiten una serie de números recitados
por una persona; los informes de la empresa que fabrica las máquinas de
voto electrónico de EEUU y que demuestran que son muy fáciles de
manipular; cómo romper el algoritmo de encriptación SHA0; los planes
del Pentágono de invadir la triple frontera Argentina/Brasil/Paraguay
tras el 11-S, o los contratos que se otorgaron a Haliburton para
repartirse el petróleo de Iraq mucho antes de invadirse aquel país e
incluso antes del 11-S, o sus informes secretos sobre torturas a
prisioneros militares; o cómo acceder a cámaras de seguridad y otros
dispositivos "seguros" a través de Google) es que difunda esa
información lo más amplia y rápidamente posible. Así, además de
asegurarse de no ser el único que lo sabe "y no debería", nos ayudarán
a todos a comprender mejor este mundo en el que vivimos, y de paso a
hacerlo más seguro, pudiendo corregir los fallos de seguridad que nos
rodean y que son la verdadera amenaza.



Artículo original de Jorge Cortell, es de dominio público y el
original, así como otros muchos artículos interesantes, se pueden
encontrar en su pág.
http://jorge.cortell.net/



Jorge Cortell es informático por la Universidad de Oxford


Profesor del Master Multimedia (U.P.V.) Premio Wall Street Journal


Miembro del profesorado H20 de Harvard


Fundador de Onezero Software


Además de Asesor en TIC de gobiernos y multinacionales

* Nota de Dabo

No puedo estar más de acuerdo con Jorge.

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad