Entrevista

Deepak Daswani

‘Hacker’ i expert en seguretat a la xarxa

“Tots som vulnerables, particulars i estats”

Deepak Daswani és ‘hacker’ i expert en seguretat a la xarxa. Teniu una bona contrasenya al correu? Alerta!

‘HACKER’
“El terme ‘hacker’ defineix una persona que no es conforma a enviar cors per WhatsApp, sinó que vol arribar al coneixement avançat”
SEGURETAT
“Tots, per fer servir la tecnologia, estem exposats a un seguit de riscos. I el que avui és segur demà pot no ser-ho”
ESPAVILATS
“Hi ha molts usuaris que volen anar de ‘hackers’ o fer coses il·legals sense saber què estan fent. Aquest és el perill”
FOSCOR
“Hi ha xarxes en les quals es mouen continguts il·lícits. És cert. Ara bé, aquesta internet no està a disposició de qualsevol”

Segurament ja deveu ser molt polits. Deveu tenir contrasenyes diferents per al correu, Twitter, Instagram... i les canvieu amb certa freqüència. I deveu estar al cas dels permisos que concedeixen a les aplicacions, i no us deu passar pel cap tampoc intentar robar el Wi-Fi als veïns del quart primera. La ciberdelinqüència, però, és real. La xarxa, com tot, es pot fer servir per fer el bé i per fer el mal. I no es pot anar amb el lliri a la mà. Deepak Daswani, expert en ciberseguretat, ha estat a Barcelona per presentar el llibre que li ha editat Ediciones Deusto: La amenaza hacker. De fet, ell és un hacker. Atenció, però, hacker no és sinònim de pirata.

Sovint se segueix usant el terme hacker per parlar de pirata informàtic. Els diccionaris de vegades encara barregen els termes. Ho pot aclarir una mica?
La diferència principal entre un hacker i un pirata és la motivació. Un hacker és una persona que, evidentment, vol arribar més enllà, vol trencar els límits de la tecnologia, vol entrar on no es pot entrar, però la seva motivació és la superació, el repte personal. El que té és ànsia de coneixement, passió per aprofundir en algun àmbit, avançar en el coneixement de qualsevol matèria. En l’accepció més romàntica es podria aplicar tant a la ciència com a les arts, la política, l’economia... Ser hacker és una actitud, però evidentment s’associa a l’àmbit tecnològic, perquè va néixer en aquest món.
És ser curiós.
Curiós, inquiet. El terme hacker defineix una persona que no es conforma a enviar cors per WhatsApp, sinó que vol arribar al coneixement avançat de la tecnologia, per trencar barreres i identificar els forats en la seguretat, amb l’objectiu de fortificar la tecnologia, fer sistemes més segurs, demostrar la seva capacitat. Després, les persones que utilitzen aquest coneixement, els fruits de la recerca de diferents hackers per fer el mal són els ciberdelinqüents.
Els pirates. La línia que separa uns i altres és molt prima. Expliqui’m com va això de detectar problemes de seguretat i comunicar-los a les empreses.
Sí, hi ha una línia molt prima... Sobretot quan investigues un problema de seguretat i creus que n’has identificat algun en alguna organització i decideixes informar-los perquè s’hi posi remei. Anem a pams. Hi ha grans empreses, com Google, Yahoo i Apple, que tenen programes de recompensa, i cada vegada hi ha més empreses petites que són hacker friendly. Agraeixen que se’ls reportin les vulnerabilitats, perquè és com si t’estiguessin fent una auditoria gratuïta.
Els hackers es quedarien aquí, sense buscar treure rendiment econòmic de la troballa. No busquen recompensa, doncs?
Quan identifiques un problema de seguretat en una organització sense que t’hagin demanat que ho fessis, els lliures la informació perquè el corregeixin, sense buscar res a canvi. Hi ha casos en què n’informes i t’ho agraeixen, i hi ha altres casos en què n’informes i no et fan ni cas, i aleshores l’experiència és decebedora.
D’aquestes últimes, d’experiències decebedores, n’ha tingut, per exemple amb el web del Club Deportivo Tenerife, com explica en el llibre. Alguna més?
En tinc una relacionada amb una aplicació per a centres esportius. Una empresa d’Almeria desenvolupa una aplicació per a gimnasos. És la del meu gimnàs. La vaig investigar i vaig trobar que, si es volia, es podia hackejar el sistema de reserva d’activitats, i que era vulnerable a determinats atacs a través de Wi-Fi... El més crític de tot, però, és que es podia accedir a les rutines d’entrenament de tots els usuaris de l’aplicació: nom, cognoms, entrenador, rutina. Imagina la quantitat de gimnasos que utilitzen l’aplicació, uns 1.600! Es tracta d’uns 10 milions de clients potencialment afectats. El més greu són altres dades que van més enllà de la rutina esportiva. Són les dades que estan en l’informe, amb foto inclosa, que es fa periòdicament després de revisar els avenços físics del client: edat metabòlica, líquids corporals, percentatge de greix, índex de massa corporal... Podia accedir al meu informe i al dels altres deu milions d’usuaris. A mi tant me fa, que vegin el meu informe, els resultats són bons! Més enllà de la broma, els informes contenen dades privades, sensibles, de salut. Ho vaig traslladar a l’empresa i els vaig explicar que hi havia informació crítica exposada.
I què van fer?
Els vaig dir, via correu electrònic, que si estaven interessats ens podíem trobar i els en donaria els detalls, sense cap mena de compromís. No em va respondre ningú. Res de res. Al cap d’un temps vaig fer una conferència i vaig exposar el cas. Des dels informatius de Cuatro se’n van fer ressò, en horari de molta audiència. L’endemà ja m’estaven trucant: els clients del gimnàs havien començat a demanar explicacions. Aleshores sí que em van demanar que ens trobéssim.
Trist.
Vam tenir la reunió i em van dir que volien contractar una auditoria perquè jo ho revisés tot. Els vaig dir que no calia que em contractessin una auditoria com a compensació per la informació que els havia facilitat. Van insistir i em van demanar pressupost. Els vaig demanar dades, que es van comprometre a passar-me, i al cap de dues setmanes els havia d’enviar el pressupost.
I...?
No van enviar les dades. Els vaig escriure i no solament no em van contestar, sinó que van reenviar el correu a un client que em retreia que hagués explicat el cas en una conferència! Vaig al·lucinar, i vaig decidir deixar-ho estar. El més bo, però, és que fa pocs dies vaig fer una altra conferència explicant el cas, i vaig veure que les vulnerabilitats que els havia comentat estaven corregides, afortunadament. Tot i així, vaig trobar una altra escletxa en la seva seguretat. No diré res més...
Parlàvem de la línia vermella que es pot arribar a traspassar.
En alguns casos, quan fas aquesta recerca, et pots trobar informació sucosa, i pots tenir la temptació d’explotar-la, per fer mal, per demanar un rescat, com fan els ciberdelinqüents. No és el meu cas. No tinc cap interès en això. Quan es produeix aquest moment de descoberta es posa en marxa l’ètica, l’educació que has rebut, els principis, els valors que tinguis com a persona, en la teva vida quotidiana. Quan em pregunten sobre aquestes qüestions dic que hi ha persones que tenen unes habilitats que es poden usar per fer el bé o per fer el mal. Un boxejador pot usar la seva suposada superioritat física per protegir una persona en perill o pot ser un paio que es dedica a esbatussar-se en una discoteca. Hi ha experts en economia, en fiscalitat, que poden usar els seus coneixements per assessorar els seus clients sobre com gestionar els actius o bé els poden assessorar sobre com cometre fraus. Al final, tot depèn dels teus principis morals. Compta tot, perquè és com una cadena de baules: l’educació a casa, la dels pares i la dels professors; les experiències, la teva personalitat... És cert que hi ha gent que hi pot caure, és temptador, és seductor, pel guany econòmic que se’n pot treure, però realment som molts els que ni tan sols ens ho plantegem.
En el seu llibre, però, hi ha una història, que diu vostè que no pensa confirmar ni desmentir, segons la qual va ajudar un amic a esbrinar si la seva parella li posava les banyes. Li va tocar la fibra sensible?
Mai se sabrà si aquesta història és certa o inventada. És clar que una cosa és que no facis mal i una altra dir que cap hacker mai ha utilitzat la seva habilitat per fer alguna gamberrada... Si som sincers... El que planteja la història, utilitzar la tecnologia per saber d’una possible infidelitat, a tu et pot semblar que és una acció que s’engega per amistat, però per a un hacker potser només és un repte. Volem això, reptes. De vegades, des del món de l’empresa, em pregunten: “Com retenim el talent?” I els dic que, perquè no se’n vagin, els motivin. Necessiten reptes constants, que els estimulin. I un sou just, que no pretenguin tenir un especialista en tecnologia amb el sou d’un dissenyador de llocs web. Els deixarà, perquè hi ha molta feina. Hi ha necessitat real d’especialistes, que en sàpiguen de debò.
Perquè és impossible saber-ho tot.
Hi ha moltes àrees de coneixement, molt especialitzades i t’has d’estar formant constantment. Ningú de nosaltres sap de tot: hacking, hacking web, anàlisi forense, anàlisi de malware [software maliciós]...

PROTEGIR-NOs

Una cosa que queda clara, llegint el llibre, és que la seguretat, al cent per cent, no existeix. I que, de fet, si hi ha ciberdelicte és perquè algú ha descurat la protecció.
Sí. Hi ha ciberdelicte perquè hi ha hagut una vulnerabilitat, un error tècnic o un error humà.
Tots som vulnerables, començant pels que fan servir la mateixa contrasenya per tot i no la canvien mai.
A partir d’ara, aneu canviant la contrasenya!
Estem molt exposats!
Buf... Sí! Tots som vulnerables, usuaris, particulars, organitzacions, petites i grans, governs, estats... Tots, per fer servir la tecnologia, en menor o major mesura, estem exposats a un seguit de riscos. I el que avui és segur demà pot no ser-ho, perquè pot arribar algú que descobreixi un problema de seguretat i se n’aprofiti. Els exploits [programes per atacar sistemes, dispositius o tecnologies, un cop s’ha detectat la vulnerabilitat] en són un exemple, però hi ha un munt de riscos que, si se segueix el decàleg que jo plantejo de bones pràctiques, podem evitar en gran mesura, i podem viure amb un nivell de seguretat de relativa confiança.
El primer punt del decàleg és mantenir actualitzat el sistema operatiu dels nostres dispositius.
I tenir un antivirus comercial, de reputació contrastada, no descarregar software gratuït d’internet, modificar les contrasenyes freqüentment... I que la contrasenya sigui robusta, és a dir, amb certa complexitat: més de vuit caràcters, lletres, números, símbols. Res que sigui previsible, com el teu nom seguit d’12345. I, no cal dir-ho, hem d’anar molt en compte amb la informació sobre nosaltres que exposem a les xarxes socials, o que compartim, perquè pot donar pistes a un atacant i comprometre la nostra seguretat.
Al començament del llibre explica un cas que passa a molta gent: els roben la xarxa Wi-Fi.
Sí que passa, sí.
És com si t’entressin a casa.
És així. Estan entrant a la teva intimitat.
Vostè aviat els va descobrir, els lladres. Alguns que van de llestos potser no ho són tant.
Hi ha molts usuaris, l’script kiddie que en diem nosaltres, que volen anar de hackers o fer coses il·legals sense saber què estan fent. Aquest és el perill. Si no saps el que estàs fent, millor no facis res.
Sempre deixem un rastre, a internet.
Hi ha maneres d’ocultar el rastre, però depèn de què parlem. En alguns casos hi ha maneres d’intentar fer anònim el nostre rastre, però un usuari que intenti dedicar-se a això sense saber-ne deixarà una empremta que permetrà arribar fins a ell.
En el llibre explica que hi ha un mercat legal en què es venen i es compren les vulnerabilitats.
Avui dia, les vulnerabilitats són ciberarmes. Hi ha una plataforma, Zerodium, en què es pot veure quin valor pot tenir una exploit o vulnerabilitat.
“He trobat una fallada i te la venc”?
Alerta, perquè es tracta de fragilitats en un producte, un sistema, no del teu sistema. Si trobo un forat de seguretat a la revista La República i et demano diners a canvi de lliurar-te’l està mal fet. Hi ha gent que ho fa, però no es lícit, ni moralment correcte.
És un delicte.
Sí. I molt de compte amb això de detectar escletxes en la seguretat d’altres, quan ells no t’ho han demanat! Si a l’empresa o a l’organització que investigues sense el seu permís no els agrada, et pot portar problemes. Et poden denunciar.
Hi ha una internet fosca, la deep web... És possible entrar-hi i sortir-ne com si res?
Hi ha xarxes anònimes en les quals es mouen molts continguts il·lícits. És cert, però també és veritat que aquesta internet no està a disposició de qualsevol. No és tan fàcil, entrar-hi. Si trobes molt fàcilment un lloc amb el material de què es parla tant, probablement deu ser fraudulent, i l’única cosa que deu buscar és extorquir l’usuari. Aquesta mena de materials es mouen en cercles molt privats.
Trobar un sicari no és dit i fet.
És real que aquest món existeix, però com et dic, no és senzill. I no és cert que quan s’entra se’n surti terroritzat. Hi ha molta llegenda urbana, molts mites.
Arriba a ser inquietant la quantitat d’informació que tenen sobre nosaltres... Google, per exemple. Només cal veure els anuncis relacionats amb les cerques que fem.
Els llocs web fan un traçat de l’activitat dels usuaris, amb les famoses galetes (cookies). I, d’altra banda, si a Google Maps, per exemple, dones permís perquè emmagatzemin les teves ubicacions, poden saber on estàs, si has sortit abans d’hora de la feina, quanta estona passes en una botiga... En alguns casos, aquesta informació de què disposen els llocs web respon a una funcionalitat, com quan Google t’avisa que arribes just a l’aeroport, perquè sap que tens un viatge, pel calendari. Si tot això a tu et va bé, fantàstic, però si no ho vols, només cal que desactivis aquesta funcionalitat.
I en el cas de les aplicacions que demanen permís per accedir als contactes, els missatges...?
Hi ha moltes aplicacions que sol·liciten permisos que no són necessaris per a les funcions que ens ofereixen. Es tracta d’acotar els permisos i no facilitar-los. Jo escullo no donar accés a certa informació en detriment d’algunes funcions. Hi ha persones que creuen que si no dones permís l’aplicació no funcionarà, però han de saber que poden decidir si donen o no donen permisos. Poden experimentar amb la tecnologia i veure què passa i si no els va bé, sempre poden fer un pas enrere i tocar la configuració.
Per cert... Hauria de tapar la càmera web del portàtil?
Doncs sí, s’ha de fer, perquè si t’instal·len un troià [d’aspecte inofensiu que permet a un atacant accedir a l’ordinador remotament], podran accedir a les imatges de la teva webcam. Es pot fer i és senzill. En parlo molt, d’això.
Déu ni do. Cal aturar-se a revisar com ho tenim tot.
Sí. Cal seure i posar ordre, per evitar problemes en un futur.

Si es pot, millor ser enginyer

Enginyer informàtic, hacker, expert en ciberseguretat. Aquest canari es va plantar pel seu compte el 2017. Abans va treballar per a l’Instituto Nacional de Seguridad i també per a l’empresa Deloitte, entre d’altres. Conferenciant i professor, col·labora sovint amb mitjans de comunicació. És cofundador del congrés de ciberseguretat Hackron, que es fa a Canàries. Bona part de la seva activitat s’orienta a sensibilitzar: ens hi juguem molt, amb la seguretat. Tothom pot ser hacker? És millor passar per la formació reglada? “Hi ha molt de debat. Conec grans hackers que no han passat per la universitat i conec enginyers titulats que... res. Jo soc enginyer i recomano que, si es pot, es faci la carrera, perquè acredita que tens uns coneixements, que hi ha hagut perseverança, constància i també sacrifici. A més, la carrera dona uns fonaments sòlids, importants per aprendre a hackejar, com és el coneixement bàsic dels sistemes operatius, el llenguatge de programació, l’enginyeria de software... I hi ha moltes alternatives per formar-se en hacking i ciberseguretat. Hi ha molta formació disponible per fer un itinerari. Dit això, sempre hi ha la possibilitat de formar-se amb els recursos d’internet. El problema és discriminar què és bo i què no.”

Identificar-me. Si ja sou usuari subscriptor, us heu d'identificar. Vull ser usuari subscriptor. Per escriure un comentari cal ser usuari subscriptor.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.
[X]

Aquest és el primer article gratuït d'aquest mes

Ja ets subscriptor?

Fes-te subscriptor