Todo es hackeable: segunda parte

IMAGE: Mohammad Izar Izhar - 123RFImagina cómo te sentirías si a eso de las 23:40 de la noche, todas las 156 sirenas del sistema público de alerta de tu ciudad, pensadas para avisar en caso de tornados, huracanes, terremotos y otras emergencias, comenzasen a sonar a la vez, y que siguiesen sonando en intervalos de noventa segundos unas quince veces hasta la 01:20, bien pasada la medianoche. Esto fue, ni más ni menos, lo que Dallas vivió la noche del pasado viernes: toda la ciudad atacada de los nervios, lanzando hipótesis en plena psicosis colectiva que iban desde atentados a ataques con misiles, llamando a sus amigos y familiares, y colapsando los servicios de emergencia con miles de llamadas de teléfono. Finalmente, el motivo resulta ser un ciberataque, una intrusión en el sistema público de emergencia de origen aún desconocido.

Un sistema público de alerta es, obviamente, una infraestructura crítica. El ataque en cuestión, además de provocar que la gran mayoría de los implicados en la gestión del sistema saliesen corriendo de sus casas para tratar de combatir el problema, solo pudo ser detenido mediante la desconexión total de la red de alerta, lo que habría comprometido la posibilidad de dar aviso a la población en el caso de que, por casualidad o de manera intencionada, se hubiese producido un evento susceptible de provocar una alerta real. Además, el ataque disminuye la confianza de los ciudadanos en el sistema, lo que eventualmente puede llegar a provocar problemas si alguien llegase a pensar, en el caso de una emergencia real, que se trata de una falsa alarma más.

Es la segunda vez que utilizo el título «todo es hackeable», y mucho me temo que no será la última de esa serie: en la entrada anterior, en julio de 2015, hablaba sobre determinados modelos de automóvil fabricados por Jeep cuyo comportamiento podía ser alterado desde un ordenador, poniendo en peligro a sus ocupantes. En aquella ocasión se trataba de un experimento relativamente controlado: los hackers trataban de demostrar a un periodista de Wired, previamente avisado, que aquello era posible, que representaba un escenario real y una vulnerabilidad que alguien, eventualmente, podría explotar maliciosamente para tratar de hacer daño a alguien. Del incidente del viernes en Dallas no sabemos aún prácticamente nada: podría tratarse desde simplemente una travesura, a una manera de avisar de una vulnerabilidad en el sistema de alertas y de demostrar lo que podría ocurrir si no es corregida, a un intento de generar un estado de psicosis en la población con algún tipo de motivación política o reivindicativa, o de muchas posibilidades más. En cualquier caso, la conclusión sigue siendo la misma: a medida que conectamos más y más cosas a la red, tenemos que tener en cuenta que existe la posibilidad de que alguien, sea con las intenciones que sea, pueda acceder a ellas y manipularlas.

Eso es particularmente cierto en el caso de estructuras creadas o diseñadas antes de que este tipo de eventualidades fuesen una posibilidad real. En mi entrada anterior, el vehículo era un Jeep, una compañía tradicional de automoción, que se aventura en la tendencia del vehículo conectado, pero carece presuntamente de una cultura desarrollada en torno a la ciberseguridad porque, sencillamente, no la había necesitado. La ciberseguridad no es algo en absoluto sencillo: exige profesionales con experiencia, con un nivel de actualización enormemente exigente y con lazos con la comunidad de expertos en el tema, porque resulta imposible estar al día en todo. Un profesional de la ciberseguridad tiene que saber que la seguridad total no existe: como dijo el gran Gene Spafford, Spaf, en 1989, «el único sistema verdaderamente seguro es uno que esté apagado, encerrado en un bloque de hormigón y sellado en una habitación con plomo custodiada por guardias armados – e incluso así tengo mis dudas». Por tanto, su trabajo consiste en, dentro de ese contexto, asumir la seguridad suficiente para que determinados escenarios no tengan lugar, dentro de unos límites razonables y suponiendo un nivel de interés determinado por parte del atacante.

Los hackers no son malvados delincuentes: son personas con un conjunto de habilidades especialmente desarrolladas que les permiten llevar a cabo determinadas tareas. El mítico desarrollador Eric Raymond acaba de escribir un artículo hace unos días actualizando lo que considera la tipología de los hackers, que permite entender un poco mejor cuáles son esas habilidades y con qué ética trabajan: ser un hacker es algo bueno, puede definir a grandes profesionales, y en modo alguno tiene o debe tener ningún tipo de connotación siniestra: una persona que ataca un sistema para provocar un daño no es un hacker, es un delincuente. Las empresas que saben lo que hacen aprenden a reaccionar ante los avisos de vulnerabilidades, y tratan de desarrollar internamente una cultura orientada a la ciberseguridad, porque son conscientes de que se trata de un tema cada día más crítico.

Ante eventos como los del pasado viernes, debemos tratar de reaccionar con serenidad: son una forma de avisarnos de que todo aquello que esté conectado a la red es eventualmente hackeable, y que debemos revisarlo de arriba a abajo para entender a qué posibles riesgos nos enfrentamos, para poder plantear así un balance entre el coste de intentar mejorar su nivel de seguridad y el de un eventual problema derivado de la falta de la misma. El efecto más positivo puede ser el que directivos de toda condición empiecen a plantearse la enorme importancia de este tema, y piensen en cómo implantar una cultura orientada a la ciberseguridad. Este tipo de casos son, simplemente, las consecuencias de un nuevo entorno en el que muchos creadores y gestores de productos y servicios de todo tipo que antes no estaban sujetos a este tipo de problemas aún no se mueven con comodidad. Veremos, me temo, muchos casos más.

 

 

This post is also available in English in my Medium page, “Everything is hackable: part two«

 

15 comentarios

  • #001
    Carlos Quintero - 10 abril 2017 - 14:20

    Me estoy leyendo estos días un libro del mítico Mark Russinovich, el creador de las herramientas SysInternals para Windows y descubridor del rootkit de Sony. Cuenta en la introducción que en 1996 su relación con Microsoft empeoró cuando creó los fuzzers Ntcrash/Ntcrash2 con los que encontró docenas de llamadas del sistema que tenían una validación débil de parámetros que permitían tumbar Windows NT, y dice que en aquellos años eran considerados por Microsoft como simples «fallos de fiabilidad algo embarazosos», pero que hoy serían considerados como «fallos de seguridad importantes». Microsoft tardó aún 6 años más en instaurar la iniciativa Trustworthy Computing en 2002, que mejoró muchísmo la seguridad de Windows en los años siguientes. Hace algunos años Microsoft compró su empresa y le contrató, aunque ahora se dedica a otras cosas (Azure). Pero a día de hoy, 15 años más tarde, a mí me sigue pareciendo los productos de Microsoft tienen bastantes agujeros de seguridad todos los meses.

    Pues bien, hay compañías que aún ni han empezado a tomarse en serio la seguridad, y aún así, cuando se la tomen en serio, pasarán muchos años hasta que tengan resultados tangibles. Y siempre quedarán muchos agujeros.

    Mark Russinovich
    Trustworthy computing
    Samsung’s TV and watch OS is reportedly full of security holes

    • Juan Carlos - 10 abril 2017 - 19:41

      Hola, qué libro es, por favor?
      Gracias

      • Carlos Quintero - 10 abril 2017 - 23:14

        Es un libro muy técnico para aprender a usar mejor las herramientas Sysinternals para Windows (que seguramente usan los hackers y crackers, pero yo lo quiero para diagnosticar problemas y encontrar las causas sin recurrir a la adivinación…).

        Troubleshooting with the Windows Sysinternals Tools

        Este otro, que es gratis, explica la metodología que implantó Microsoft para mejorar la seguridad de sus productos, obligatoria para todo empleado de la compañia:

        Free ebook: The Security Development Lifecycle

        • Juan Carlos - 11 abril 2017 - 06:55

          Muchas gracias

  • #005
    marcelo - 10 abril 2017 - 15:56

    esto deben haber sido los rusos dejando un recadito al tío Donald…

  • #006
    Daniel Terán - 10 abril 2017 - 18:39

    Eso se consigue con el NanoCore y cuatro clicks XD

  • #007
    Sergi - 10 abril 2017 - 22:19

    Enrique, hace una década que vengo pregonando a diestra y siniestra la necesidad de que los gobiernos inviertan DE VERDAD en investigación básica en computación, teniendo en nómina desarrolladores e ingenieros de software, pero también cientificos, universidades y departamentos (sino Institutos y/o Ministerios/Consejerías) dedicados a generar software y CONOCIMIENTO y HERRAMIENTAS. Habría de ser lo natural en una sociedad dicen que de la información!!

    ¿Porqué la Unión Europea no ha desarrollado un buscador de internet potente, en lugar de tenernos dependientes de una iniciativa privada 100% comercial (Google) y extranjera? Se pudo hacer un ciclotrón, que es muchisimo más complicado. ¿Porqué. los gobiernos estatales y locales no destinan más fondos y personal a wikipedia en lugar de encerrar su conocimiento en plataformas aisladas? ¿Porqué los gobiernos no sostienen y proporcionan una tecnología de antivirus GRATUITA mientras derrochan fortunas en tanques, uniformes y pelotas de goma?

    Entiendo que la iniciativa empresarial privada siempre será la punta de lanza de la innovación tecnológica. Y en ese sentido hay en cierta manera que respetar un «período de gracia» para que le saquen un beneficio económico. Pero una vez que esas tecnologías pasan a ser de EVIDENTE necesidad para el día a día de las empresas y ciudadanos, creo que el estado está legitimado y obligado a asumir como propias esas responsabilidades y tecnologías o cuanto menos a implicarse activamente en su desarrollo.

    Enrique, me gustaría mucho saber qué piensas de esto que comento y si ya has escrito sobre ello. Tal vez y estoy diciendo una auténtica tontería… con gusto querría saber qué piensas. Creo que es un tema complejo y que toca puntos polémicos como «los derechos de autor» vs el «interes general», etc. que a ti te apasiona. Un saludo!

  • #008
    marco corona - 11 abril 2017 - 05:50

    El hacking es parte de la semilla de la creatividad, a la par que estás creando algo te preguntas «¿y si en vez de rojo lo hago azul?» entras en una dinámica de autohacking donde buscas variaciones; Desde aquellos primeros videojuegos en floppys que podías editar y cambiar el parametro de numero de vidas = 99, se veía la posibilidad de mejorar las experiencias, los usos y funcionalidades.
    El hacking es incluso accidental, cuantas veces no ha ocurrido algo inesperado a raiz de un error, obtenemos un resultado que ni esperábamos ni buscábamos pero que sin embargo mejora nuestro proyecto original.

    Y aplica en muchos campos de nuestra vida.

  • #009
    Antonio Fontanini - 11 abril 2017 - 09:34

    Querido Enrique,
    al leer tu post me he acordado de un libro que leí hace más de 15 años «The hacker ethic» de Pekka Himanen y Linus Torwald (con la contribución de Manuel Castells) https://www.amazon.com/Hacker-Ethic-Pekka-Himanen/dp/0375505660
    En el libro (publicado en 2001) se explicaba lo que significaba ser un «hacker» entonces y su definición sigue tremendamente actual, coincidiendo mucho con tu apreciación.
    Hoy las empresas que quieren cambiar su cultura corporativa para competir con los «fintechs», los Ant Financials/Alibabas» y los GAFAs (Google, Apple, Facebook y Amazon) tienen que fichar a «piratas», no a capitanes. Buen ejemplo es ver al «hacker» Chema Alonso al frente de los datos de Telefónica.
    Finalmente, el otro día coincidimos en los pasillos de IE pero no me dió tiempo por darte las gracias por este post diario que publicas, que nos enriquece a tod@s y nos ahorra muchísimo trabajo de investigación. Pues lo hago ahora y publicamente: GRACIAS y Feliz Semana Santa a toda tu tribu. Antonio Fontanini

    • Enrique Dans - 11 abril 2017 - 09:36

      Muchas gracias, Antonio! A ver si cambiamos esos «encuentros fugaces entre clase y clase» por algún tiempo de más calidad delante de un cafecito o de una caña… :-)

      • Antonio Fontanini - 11 abril 2017 - 10:08

        Será un placer, siempre.
        Estaré en Madrid a partir del 19 de Abril y me acercaré a IE cuando te venga bien.

        Abrazos,

  • #012
    Luis - 11 abril 2017 - 13:30

    Paradójicamente, lo que parece más preocupante es que, de forma intencionada, seguramente hayan conseguido «concentrar» a la población de Dallas en ciertas ubicaciones concretas: un blanco fácil.

  • #013
    Xaquín - 11 abril 2017 - 19:11

    El hackeo no es algo consustancial a la tecnología. Sí es cirteo que sus puntos flacos son su dependencia de la energía y la seguridad en el «trasvase» de información.

    Pero el ser humano, como bien indica algún comentario anterior, ya lleva consigo genéticamente el «hackeo» (y la dependencia energética), haciendo muy difícil la seguridad informativa. O acaso no es cierto que, si tenemos una información que buscan (incluso con posibilidad de tortura), nos negamos a darsela a un amigo para no ponerle en peligro. Lo que indica claramente que alguien nos pretende hackear desde que nacemos… y, de acuerdo totalmente con Enrique, se merece más el término piratear (o robar). El término hackeo debía reservarse para la introdución en un sistema informático sin ánimo preterdeminado… en principio por «purita curiosidad» (por eso se hablaba del espíritu del hacker en la universidad, no?).

    Si bien es verdad que, al final, hackear será positivo o negativo según que parte del poder está usando al «pirata»…

  • #014
    Pablo España - 14 abril 2017 - 18:21

    Muchas Gracias Enrique desde luego en el mundo del internet hay que tener cuidado, cualquiera puede hakearte este articulo me gusto más que el anterior, saludos

  • #015
    Luis - 16 abril 2017 - 21:02

    El cómo (no sé si confirmado al 100% o de manera oficial, pero es totalmente factible) no muestra un error de software, sino un error de mantenerse en un sistema arcaico de tonos a través de señal de audio. Supongo que lo «romperían» por fuerza bruta, si no el ataque habría sido después de que sonasen por una amenaza real.

    Más info, en Genbeta: Hackeando una señal de radio: así se hizo que las alarmas de Dallas se volvieran locas

Dejar un Comentario a Sergi

Los comentarios están cerrados