Tarjetas de crédito, mandos, puertas de garaje, billetes de avión. No hay código de seguridad que se resista al británico Adam Laurie, veterano hacker del lado del Bien. Su última hazaña ha sido demostrar que los pasaportes biométricos británicos se pueden clonar.
Pregunta. Llega tarde.
Respuesta. Disculpe. Estaba copiando unas tarjetas con chips RFID, esas que la industria dice que es imposible clonar. Una era para entrar en la oficina y la otra, para la máquina de café.
P. Le gusta jugar con todo. ¿Tiene alguna pauta común?
R. Investigar la seguridad de las tecnologías que afectan al consumidor.
P. ¿Cómo logró romper la protección del pasaporte británico?
R. La clave está formada por tres elementos: el número de pasaporte, la fecha de expiración y la de nacimiento. No fue difícil descubrir las fechas. En cuanto al pasaporte, les dan números secuenciales. Sólo tuve que buscar dentro de un rango. Fácil.
P. ¡Lo parece!
R. Éste es el problema. La solución también es fácil: no dar números secuenciales.
P. ¿El Gobierno ha dicho que lo solucionará?
R. A mí no me dicen nada. Nos comunicamos por los periódicos.
P. ¿Los gobiernos no saben usar la tecnología?
R. No se la toman seriamente. Tampoco la industria. Hablan mucho de estándares, protocolos, pero no viven en el mundo real, no piensan que están diseñando algo que debe ser seguro. Se creen infalibles, gastan dinero en cosas equivocadas y no lo quieren admitir.
P. ¿Como los chips RFID?
R. Sí. Un ejemplo: el chip tiene un número de identificación y con eso ya te autentifican. Es como si, para sacar dinero, sólo fuese necesario que el cajero leyese la tarjeta de crédito, sin poner el PIN.
P. Usted conoce muchos fallos de seguridad. ¿Qué porcentaje hace públicos?
R. Todo. Creo en la divulgación total. Quiero que se arreglen los agujeros que descubro y porque la gente tiene derecho a saber.
P. Y los chicos malos...
R. Si hay un agujero en tu banco y yo soy un chico malo, sacaré dinero sin que nadie lo sepa. Si soy un buen chico, puedo ir al banco y avisarles. Ellos lo arreglarán o no. Si no lo hacen, el próximo paso será hacérselo saber al público, para que pueda defenderse.
P. La actividad criminal llena Internet de porquería. Ya no miro mi correo, miro mi spam.
R. El correo basura es una parte aislada del problema porque es muy difícil de manejar. Pero a largo plazo morirá. A medida que el público se eduque, entienda cómo funciona y deje de comprar Viagra, desaparecerá.
P. ¿Y en cuanto al resto de delincuencia?
R. La cuestión de fondo es que los gobiernos no han resuelto a qué escala deben luchar.
P. ¿Habla de hacer más leyes?
R. No. Deben reforzarse las existentes y necesitamos más investigación. Alguien me robó la tarjeta de crédito, la usó para comprar en gasolineras y, cuando lo denuncié a la policía, dijeron que no era un monto suficiente para investigarlo. Pero esta banda está organizada, tiene otras tarjetas robadas y saca miles de dólares diarios sin que nadie lo investigue.
P. ¿La red está tan llena de criminales como parece?
R. Sí. La prueba es que si conectas un ordenador sin protección, se infectará en minutos. Pero esto también pasa en la calle, si dejas la puerta de tu casa abierta. La diferencia es que la gente que se hace responsable de tu seguridad en Internet no tiene interés en hacer productos seguros. Lo importante es sacarlos al mercado, hacer dinero y después, si acaso, se preocuparán por la seguridad.
P. Usted ha organizado reuniones de la comunidad hacker como la DEFCON y la Black Hat.
R. La DEFCON es un lugar de reunión para todo el mundo, sean agencias del Gobierno, buenos y malos chicos. Es importante que no se excluya a nadie porque la cuestión es compartir cuanto más conocimiento mejor. De lo contrario, salen las leyes que salen.
P. ¿Qué leyes?
R. Basadas en favorecer a la industria: contra la ingeniería inversa, la revelación de información...
P. ...las herramientas de hacking...
R. Y de esta forma ilegalizan también la investigación.
ADAM LAURIE: http://trifinite.org/trifinite_group_adam.html
FUENTE: ELPAIS
Marcadores