Entrevista con un Hacker:
"Capitán Zap"
¿Quién
es el Capitán Zap?
El año ..... 1981. La administración Reagan se encontraba en su
infancia. "Elvira" se colocaba en las gráficas del
Billboard. Y un joven hacker estaba a punto de convertirse en la
primera persona arrestada por un crimen de computo.
Dieciocho meses antes, Ian Murphy (también conocido como
"Capitán Zap"), junto con tres cómplices, hackearon las
computadoras de AT&T y cambiaron sus relojes internos. Los
clientes de repente empezaron a recibir descuentos nocturnos en
plena tarde, mientras que otros que habían esperado hasta la media
noche para usar el teléfono recibieron facturas elevadísimas. Por
su participación en el crimen, Murphy recibió una condena de mil
horas de servicios comunitarios y dos años y medio en libertad
condicional (considerablemente menos de lo que reciben hoy en día
los hackers). También fue tema de inspiración para la película
"Sneakers".
Hoy Murphy, como otros hackers, maneja su propia empresa de
seguridad "IAM Secure Data Systems, Inc." Por cinco
mil dólares diarios mas gastos, Murphy se ha disfrazado de empleado
de una compañía telefónica y ha crackeado un sistema de seguridad
bancaria, ha ayudado en investigaciones de asesinatos, y a dirigir
los estudios en cuanto a terrorismo aéreo. Pero para Murphy lo
mejor es hackear sistemas de seguridad de empresas, con su permiso,
y ayudándolos a protegerse de intrusiones.
Aquí LatinoSeguridad les presenta un fragmento de la entrevista que
consedió:
¿Qué te impulso
en primer lugar a hackear sistemas?
CapZap: Hackear sistemas es un término
muy amplio para denominar los pensamientos que han sido parte de mi
vida. Desde muy joven, fui una persona muy curiosa. Este amor a los
sistemas tecnológicos nació desde una niñez muy temprana ya que
mis padres se aseguraron que mi educación fuera la mejor posible en
el área donde me iba a desarrollar. A temprana edad, los juguetes
que me regalaron los aparte e investigaba para que habían sido
hechos. También tenía una increíble curiosidad a cualquier tipo
de personal de servicio que viniera a casa para atender problemas
con los televisores, a los dispositivos de basura, sistemas de
intercomunicación, de telefonía, y cualquier otro tipo de sistema
que estuviera en casa.
Supongo que puedo imaginar que mi primera exposición a un hackeo de
sistemas pudo empezar con mi temprana fascinación a la red telefónica.
En ese tiempo, a principios y mediados de los sesenta, había una
solo una compañía telefónica en el país, y la compañía telefónica
guardaba sus secretos tecnológicos del público en general. Puedo
decir que mi primer pensamiento de hackeo fue con el sistema telefónico
y de hecho estaba interceptando llamadas telefónicas de las chicas
del vecindario para conocer de que estaban hablando. Haciendo
"conexiones en crudo" de cables para hacer que desde un
polo tuviera la posibilidad de escuchar llamadas o para hacerlas a
cualquier lugar del mundo.
Leer fue una gran fuente de satisfacción, hay una gran variedad de
libros de ciencia que ayudan a entender las cosas que trabajan en el
mundo. Lo cierto es que además de que tengamos problemas como la
guerra bio-química así como los escenarios de ataques terroristas,
yo estaba fascinado con estos sistemas y con la manufactura de
dichos dispositivos y formulas. Recuerdo el primer libro que leí
sobre el tema y era un libro que fue escrito a principio de los
setenta llamado Armamentos Químicos y Biológicos por Seymour
Hersch del New York Times. También estuve fascinado con las armas
nucleares y explosivos. Esto abrió mis ojos para ver lo que acontecía
a una temprana edad.
Pero siempre fui un hacker si lo quieres ver de esa manera. Yo
prefiero llamar una investigación ortodoxa de protocolos que pone a
prueba los limites de la sociedad, avances tecnológicos, impactos
globales sobre la insaciable sed del hombre de ver que hay más allá
sabiendo que el infierno esta ahí afuera. Realmente pienso que la
necesidad de los ciudadanos en cuanto a tecnología, deja solo el
entendimiento de cómo trabaja todo guardando la mayoría de la
gente una visión provincial de la tecnología y reprime su mente en
general.
Ahora tenemos una gran sociedad que no entiende el trabajo de una
simple luz que enciende en sus casas, y tiene que llamar al eléctrico
para cambiar el switch. Y luego se queja de que gasto $150 dólares
por eso. Crezcan y aprendan a tomar las riendas de su entorno para
entender que están viviendo en el. La cuestión sobre todo lo que
viene antes de ti no lo tomes a condición que todo esta muy bien.
¿Cómo era la
seguridad de la Tecnología de la Información en esos ayeres?
CapZap: La seguridad de la
tecnología de la información era inexistente. Era una broma si es
que algo existía. Control de acceso, contraseñas y control de la
información no existía en el entorno del mundo real. Solo los
militares tenían las computadoras mas poderosas y eso lo hacía
mucho más divertido. De hecho para todos ustedes que desean conocer
de la historia, el internet no estaba planeado como ahora surgió.
Era una red construida para la guerra, guerra nuclear y como una
forma para que los militares conversaran y supieran que se requería
o que tenían que hacer del otro lado. Ahora uno de los problemas de
la seguridad de la tecnología de la información es que nadie lo
pensó así antes ni que pudiera ocurrir lo que pasa ahora. Las
computadoras eran maquinas enormes que la gente solo podía ver en
cine de ciencia ficción que eran enormes muros de luces
destellantes, nadie tenía acceso a ellas solo para fines de
investigación o cosas similares.
¿En su opinión, que ha cambiado en la
postura de seguridad en las empresas de hoy en día?
CapZap: La seguridad ha sido
defendida por un gran número de nosotros desde la década de los
ochenta hasta hoy en día. Nosotros nos mantenemos al margen ya que
nada ha pasado en los sistemas centrales y no hay muchos sistemas
conectados a tiempo completo. Solo los militares tienen sistemas
conectados en una base de tiempo completo, y en esa red,
"Arpanet" es el campo de juego. Ahora en las mayoría de
las computadoras es usual un NIC, la distancia de frecuencias ancha
es estándar y popular.
Pero nosotros seguimos viendo rechazo de seguridad de parte de las
masas porque ellos no entienden que es necesario. Las compañías
siguen sin ver el costo beneficio y solo responden cuando tienen un
incidente. Las ideas de seguridad siguen en segundo plano tanto para
los dueños pequeños y medianos. El costo de los programas es alto
y si vienen con desperfecto en el área de seguridad son vulnerables
a los ataques desde cualquier punto del planeta. Los virus son
incontrolables y la mayoría de la gente aun no tiene idea de cómo
actualizar su software antivirus.
Ahora en el tema de seguridad están completamente solos, es tu
responsabilidad la postura que asumas en cuanto a la seguridad y tu
propia elección estar expuesto al resto del mundo. Si dejas tu auto
abierto es probable que lo roben, lo mismo en tu casa, puede ser
robada, tu tienes la opción, diario hay la oportunidad y cada día
puedes verificar la información de la situación que tiene la
seguridad en el mundo.
¿Que tan sencillo
es para ti, en los ambientes actuales, hackear el sistema de una
empresa mediana?
CapZap: Se ha vuelto un poco más
difícil entrar a los sistemas, pero siguen estando ahí y puedes
encontrar varias herramientas en la red, además de muchos agujeros
de seguridad, se convierte en un juego de niños. Los scripts están
incontrolables en la red y los usuarios no toman las herramientas
que existen "gratis" para protegerse. De hecho el sólo
pensar el hackear viene acompañado del factor diversión, tanto que
puedo salir a cenar y regresar y encontrar las brechas en los
sistemas que están ahí esperando a que juegue con ellas.
Los usuarios aun no toman su posición dentro de las políticas de
protección de la seguridad porque no han entendido el valor ni la
necesidad de estas políticas. Hace falta el conocimiento por parte
de los usuarios. No existen políticas reales para las generación
de contraseñas en ningún sistema chico o mediano, se necesita de
una combinación de herramientas de seguridad. La seguridad cuesta
dinero y muchas empresas recortan el presupuesto porque no ven un
beneficio directo. Todos deberían estar conscientes de que la
seguridad cuesta y que se requiere.
¿Cómo te ganas
el dinero?
CapZap: Realmente es una buena
pregunta, retirado en algunos aspectos, activo, vigoroso y robusto
en otros, sigo manteniendo mis dedos en muchos pies. Sigo haciendo
investigaciones y dando servicio a un buen numero de clientes
internacionales. Es ahora mucho más fácil hacer consultorías vía
tele conferencia y el intercambio de información por la velocidad
que se maneja en la red. Adicionalmente, acabo de terminar una serie
de video británica para el Discovery Channel sobre seguridad de la
información, respondiendo una serie de entrevistas, como esta, y
estoy escribiendo mi cuarto libro de temas de seguridad y los
cambios en internet, completando una publicación que se llamará "A
Madman's view of Terrorism!" sobre un sitio de terrorismo
internacional e información de armamentos, operando parte del
tiempo en Florida.
¿Que consejo le
das a nuestros lectores para protegerse de los hackeos?
CapZap: Debido
al punto de vista anticuado de las compañías sobre temas de
seguridad, los programas estáticos y el presupuesto, es necesario
para todas ellas examinar las necesidades de seguridad sobre una
base dinámica por lo menos con una frecuencia de cuatro meses. Los
usuarios y los sistemas se desarrollan dinámicamente y siempre
cambian. Recomiendo que se establezcan los puntos de vista de un
hacker para atacar sistemas, cada día checar las herramientas
disponibles en la red, tener una persona dedicada exclusivamente a
la investigación de seguridad, buscando formas de romper cualquier
sistema de la empresa. Esto incluye sistemas, soporte, estructura o
cualquier forma de conexión con el mundo real. Los sistemas hidráulicos,
físicos, electrónicos, plantas eléctricas, sistemas de respaldo,
telecomunicaciones, administración y destrucción de información
confidencial, y cualquier otra cosa que pueda ser utilizada como
información, arma o material de inteligencia. Si uno no sabe contra
que tiene que luchar, que es el mundo entero, entonces necesitas
sentarte en una caja cerrar la tapa y morir.
Ian A. (Capt. Zap) Murphy, President
& CEIO
IAM / Secure Data Systems, Inc
"Everyone is into computers! Who is in yours???????"™ |
