Little Brother
Comentarios » Comentario final de Andrew «Bunnie» Huang, hacker de la Xbox
Página 30 de 33
Comentarios
Comentario final de Bruce Schneier
Soy un tecnólogo de la seguridad. Me ocupo de que la gente esté a salvo.
Pienso en sistemas de seguridad y en cómo violarlos. Después, en cómo volverlos más seguros. Sistemas de seguridad informáticos. Sistemas de vigilancia. Sistemas de seguridad para aviones, máquinas para votar, chips RFID y todo lo demás.
Cory me invitó a estar presente en las últimas páginas de su libro porque quería que te contara que la seguridad es divertida. Es increíblemente divertida. Es el gato y el ratón: quién de los dos es más inteligente; el cazador versus la presa. Creo que es el trabajo más divertido que es posible tener. Si te resultó divertido leer que Marcus fue más inteligente que las cámaras de reconocimiento de andadura al colocarse guijarros en los zapatos, piensa en cuánto más te divertiría ser la primera persona del mundo a la que se le hubiera ocurrido hacerlo.
Trabajar en seguridad significa saber mucho de tecnología. Podría significar saber de computadoras y redes, de cámaras y de cómo funcionan, o de la química que se usa para detectar bombas. Pero, en realidad, la seguridad es un estado mental. Es un modo de pensar. Marcus es un gran ejemplo de ese modo de pensar. Siempre está buscando las formas en que un sistema de seguridad puede fallar. Apuesto a que no puede entrar en una tienda sin pensar en cómo robarse algo. No porque quiera hacerlo (hay una diferencia entre saber violar un sistema de seguridad y violarlo en la práctica), sino para descubrir cómo lograrlo.
Así pensamos los de seguridad. Estamos constantemente observando a los sistemas de seguridad y pensando en cómo sortearlos; no podemos evitarlo.
Este modo de pensar es primordial, sin importar de qué lado de la seguridad estés. Si te contratan para construir una tienda a prueba de rateros, lo mejor es saber cómo roban los rateros. Si estás diseñando un sistema de cámaras para detectar formas de caminar individuales, lo mejor es que preveas que la gente puede ponerse piedras en los zapatos. Porque, si no lo haces, no vas a diseñar nada bueno.
Entonces, cuando andes por ahí durante el día, tómate un momento para observar los sistemas de seguridad que te rodean. Mira las cámaras de las tiendas donde haces las compras (¿previenen el crimen o sólo lo ahuyentan hacia la tienda de al lado?). Observa cómo opera un restaurante (si uno paga después de comer, ¿por qué no hay más gente que se va sin pagar?). Presta atención a la seguridad de un aeropuerto (¿cómo podrías subir a un avión con un arma encima?). Examina lo que hace un cajero de banco (la seguridad de un banco está diseñada para evitar que los cajeros roben, tanto como para evitar que robes tú). Contempla con atención un hormiguero (los insectos saben mucho de seguridad). Lee la Constitución y notarás la cantidad de medidas de seguridad que proporciona al pueblo para defenderse del gobierno. Observa los semáforos, los cerrojos de las puertas y todos los sistemas de seguridad que aparecen en la televisión y en el cine. Deduce cómo funcionan, contra qué amenazas protegen y no protegen, cómo pueden fallar y cómo se pueden explotar.
Pasa un tiempo haciendo esto y pronto descubrirás que piensas el mundo de otra manera. Comenzarás a notar que muchos de los sistemas de seguridad que andan por ahí no hacen verdaderamente lo que afirman que hacen y que gran parte de nuestra seguridad nacional es un desperdicio de dinero. Comprenderás que la privacidad es esencial para que haya seguridad, que no es su antónimo. Dejarás de preocuparte por las cosas que preocupan a otros y empezarás a preocuparte por cosas que a los demás ni se les cruzan por la mente.
A veces, notarás algo acerca de la seguridad que nunca se le ha ocurrido a nadie. Puede que inventes una nueva manera de violar un sistema de seguridad. El phishing (suplantación de identidad) se inventó hace unos pocos años.
Con frecuencia, me sorprendo de lo fácil que es violar algunos sistemas de seguridad muy bonitos y renombrados. Hay muchas razones para que eso suceda, pero la más importante es la imposibilidad de demostrar que algo es seguro. Lo único que puedes hacer es intentar violarlo; si fracasas, sabes que es lo bastante seguro como para impedir que tú entres. ¿Pero qué pasa si viene alguien más inteligente que tú? Cualquier persona puede diseñar un sistema de seguridad que ella misma no puede violar.
Piénsalo un segundo, porque no es obvio. Nadie está capacitado para analizar sus propios diseños de seguridad, porque el diseñador y el analista serían la misma persona, con las mismas limitaciones. La seguridad debe ser analizada por otro, porque tiene que protegernos contra lo que no se les ocurrió a los diseñadores.
Esto implica que todos tenemos que analizar la seguridad diseñada por otras personas. Con sorprendente frecuencia, uno logra violarla. Las hazañas de Marcus no son nada del otro mundo: son cosas que pasan todos los días. Entra en la red y busca «bump key» o «Bic pen Kryptonite lock»; encontrarás un par de historias realmente interesantes sobre sistemas de seguridad aparentemente fuertes, derrotados con tecnología bastante básica.
Y, cuando descubras algo así, asegúrate de publicarlo en alguna parte de la Internet. Secreto y seguridad no son sinónimos, aunque lo parezca. Sólo la mala seguridad se basa en el secreto; la buena seguridad funciona aunque todos sus detalles sean públicos.
Publicar las vulnerabilidades obliga a los diseñadores de seguridad a crear mejores sistemas y nos convierte en mejores consumidores de seguridad. Si compras una traba de bicicleta Kryptonite y puedes abrirla con un bolígrafo Bic no obtienes mucha seguridad a cambio de tu dinero. Del mismo modo, si un grupo de jovencitos inteligentes puede vencer la tecnología antiterrorista del DSI, significa que esa tecnología no funcionará muy bien cuando tenga que lidiar con terroristas de verdad.
Entregar tu privacidad a cambio de seguridad ya es bastante estúpido; no obtener verdadera seguridad en esa transacción lo es aún más.
Entonces, cierra este libro y sal a la calle. El mundo está lleno de sistemas de seguridad. Ve a hackear alguno.
Comentario final de Andrew «Bunnie» Huang, hacker de la Xbox
Los hackers son exploradores, pioneros digitales. Está en la naturaleza del hacker cuestionar las convenciones y ser tentado por los problemas intrincados. Para un hacker, los sistemas complejos son como un deporte; un efecto colateral de todo esto es la afinidad natural que siente un hacker por los problemas que tienen que ver con la seguridad. La sociedad es un sistema amplio y complejo y, por cierto, no se salva de sufrir hackeos. Como resultado, frecuentemente se estereotipa a los hackers como iconoclastas y marginados sociales, gente que desafía las normas de la sociedad sólo por el gusto de desafiarlas. Cuando hackeé la Xbox en 2002, mientras estudiaba en el MIT (Instituto Tecnológico de Massachussets), no lo hice por rebelde ni para hacer daño; estaba siguiendo un impulso natural, el mismo impulso que me motivaba a reparar una iPod estropeada o a explorar los tejados y túneles del MIT.
Por desgracia, la combinación de no cumplir con las normas sociales y de conocer cosas «amenazadoras», como saber leer el RFID de una tarjeta de crédito o abrir cerrojos, hace que algunos les tengan miedo a los hackers. Sin embargo, la motivación de un hacker típico es tan simple como decir «Soy ingeniero porque me gusta diseñar cosas». A menudo, la gente me pregunta: «¿Por qué hackeaste el sistema de seguridad de la Xbox?». Y mi respuesta es sencilla: primero, porque las cosas que yo compro son mías. Si alguien puede ordenarme qué programas puedo y no puedo usar en mi hardware, entonces no es mío. Segundo, porque existe. Es un sistema con la complejidad suficiente para convertirse en un buen deporte. Fue una gran distracción en las noches en que me quedaba hasta tarde trabajando en mi doctorado.
Tuve suerte. Como era un graduado del MIT cuando hackeé la Xbox, la actividad quedó legitimada ante los ojos de las personas adecuadas. Sin embargo, el derecho a hackear no debería concederse sólo a los académicos. Me inicié como hacker cuando era apenas un niño de escuela primaria, desarmando todos los aparatos electrónicos que caían en mis manos, para disgusto de mis padres. Mis lecturas incluían libros sobre modelismo de cohetería, artillería, armas nucleares y fabricación de explosivos… libros que saqué de la biblioteca de mi escuela (creo que la Guerra Fría influyó en la selección de libros a incorporar en las escuelas públicas). También jugaba bastante con fuegos artificiales ad-hoc y vagaba por las obras en construcción a cielo abierto de las casas que se hacían en mi vecindario del Medio Oeste. Aunque no eran cosas muy recomendables de hacer, fueron experiencias importantes que viví hasta la mayoría de edad. Crecí como un librepensador, gracias a la tolerancia social y a la confianza de mi comunidad.
Los sucesos actuales no han sido tan amables con los aspirantes a hackers. Hermano Menor nos muestra cómo llegar desde el sitio donde nos encontramos hoy a un mundo donde la tolerancia social por el pensamiento novedoso y libre está completamente muerta. Un suceso reciente resalta con precisión lo cerca que estamos de cruzar la línea y entrar en el mundo de Hermano Menor. Tuve la fortuna de leer uno de los primeros borradores de Hermano Menor en noviembre de 2006. Pulsemos el avance rápido y pasemos a dos meses después, hacia finales de enero de 2007, cuando la policía de Boston descubrió unos presuntos dispositivos explosivos y clausuró la ciudad por un día. Los dispositivos resultaron ser unas placas de circuitos con lámparas LED que se encendían y apagaban, que promocionaban un programa de Cartoon Network. Los artistas que habían instalado ese graffiti urbano fueron detenidos como sospechosos de terroristas y finalmente acusados de felonía; los productores del canal tuvieron que desembolsar dos millones de dólares para evitar el juicio y el director de Cartoon Network tuvo que renunciar.
¿Los terroristas ya ganaron? ¿Nos hemos rendido al miedo, tanto que los artistas, los que practican un hobby, los hackers, los iconoclastas o quizás un grupo de adolescentes sin pretensiones que juegan al Loca Diversión en Harajuku pueden ser imputados de terroristas de manera tan trivial?
Hay un término que denomina esta disfunción: se llama enfermedad autoinmune, que es cuando el sistema de defensa de un organismo se pasa tanto de revoluciones que no logra reconocerse a sí mismo y ataca a sus propias células. En última instancia, el organismo se autodestruye. En este momento, los EE. UU. están al borde de sufrir el shock anafiláctico de sus propias libertades y necesitamos inocularnos contra eso. La tecnología no cura esta paranoia; de hecho, puede aumentarla: nos convierte en prisioneros de nuestros propios aparatos. Coercionar a millones de personas para que se quiten hasta la ropa interior y hacerlas pasar desnudas por detectores de metales todos los días tampoco es una solución. Sólo sirve para recordarle diariamente a la población que hay motivos para tener miedo, mientras que, en la práctica, la barrera que provee para defenderse de un determinado adversario es muy endeble.
La verdad es que no podemos contar con que otra persona nos haga sentir libres y que no vendrá un M1k3y a salvarnos cuando llegue el día en que nuestras libertades se pierdan por culpa de la paranoia. Porque M1k3y está dentro de ti y de mí. Hermano Menor es un recordatorio de que, sin importar lo impredecible que sea el futuro, no ganamos libertad usando sistemas de seguridad, criptografía, interrogatorios y redadas. Ganamos libertad cuando tenemos el coraje y la convicción de vivir libremente todos los días y cuando actuamos como una sociedad libre, sin importar lo grandes que sean las amenazas que asoman en el horizonte.
Sé como M1k3y: sal por la puerta y atrévete a ser libre.