Unidad 2, Tarea 3

jonvillate

Siguiendo con el curso de Hacking Etico de Mondragon Unibertsitatea vamos a bordar la Tarea 3 de la Unidad 2, la cual consiste en reflexionar sobre la Etica Hacker utilizando como trasfondo el reciente caso de Hackeo sufrido por la empresa de seguridad Hacking Team.

Etica01

Este es el resumen de lo ocurrido:

Hacking Team es una empresa de “Seguridad Informática” radicada en Milán (Italia) y cuya principal fuente de ingresos es un software llamado Da Vinci, cuya utilidad es la de controlar remotamente sistemas informáticos. Este software puede ser considerado como una herramienta de Hacking ya que utilizando diversos agujeros de seguridad es capaz de espiar distintos tipos de dispositivos (ordenadores, tabletas, smartphones…) con distintos sistemas operativos (Windows, Linux, Android, Mac, IOS…), puede espiar desde una persona hasta a miles de ellas y entre las cosas que hace están sacar pantallazos, registrar conversaciones a través del microfono o webcam, grabar conexiones por Skype, registrar conversaciones de Whatsapp, leer correo electrónico e incluso puede desencriptar comunicaciones cifradas. Como veis una herramienta potentísima que si cae en malas manos puede hacer un daño terrible.

Como os podéis imaginar una herramienta así no esta al alcance de cualquiera y los principales clientes de la empresa Hacking Team son servicios de inteligencia de distintos paises que la utilizan supuestamente con fines legítimos de seguridad nacional y que gastan en ella cientos de miles de euros.

Recientemente un Hacker denominado a si mismo Phineas Fisher ha logrado hackear los servidores de la empresa Hacking Team obteniendo 400GB de información que ademas ha hecho públicos, con el consiguiente escándalo debido a que entre los datos filtrados se encuentra la lista de clientes y el dinero que se les ha facturado por los “servicios prestados”. Entre estos datos también se encuentra el código fuente del software Da Vinci.

Etica02

Lo que mas a alarmado de la información publicada no ha sido ver que clientes como el Gobierno de México han gastado en Hacking Team mas de 5 millones de euros o que el CNI español mas de 3 millones, si no que entre los “clientes” se encuentren países con un cuestionable concepto de los derechos humanos (p. ejem. Sudan), cosa que la empresa negaba que hiciera.

En definitiva, en este caso nos encontramos con tres grupos de “Hackers” (si es que se les puede llamar así), cada uno con sus motivaciones y sus dilemas eticos (si es que los tienen).

  • Hacking Team: Una empresa de Seguridad Informática que por lo que vemos se ha regido por criterios puramente comerciales. Si bien por un lado han realizado una  soberbia labor técnica de hacking, por otro han demostrado ser muy poco seguros (en casa del herrero…) guardando su cartera de clientes (que no son cualquiera, son gobiernos!!!) en una simple tabla excel sin ningún tipo de protección criptográfica, ademas de su total falta de ética vendiendo su producto a países de la Lista Negra de la ONU que se sabe que entre otras cosas han utilizado el software por ejemplo en contra de la libertad de prensa, espiando a asociaciones de prensa contrarias a sus regímenes (Marruecos).
  • Gobiernos del Mundo: Los distintos gobiernos que han hecho uso de Da Vinci tienen como objetivo mantener la seguridad nacional y para ello utilizan técnicas de Hacking para espiar a los “malos”, en este sentido parece que la acción está justificada, sin embargo veo algunas lagunas… Por un lado ¿no deberían los gobiernos tener sus propios hackers, igual que tienen sus propios espías o su propio ejercito?, no sería serio que un país le alquile el ejercito a otro o peor aun, a una empresa privada (a la que tu enemigo también pueda contratar). Ademas, ¿no debería un gobierno auditar a sus proveedores, sobre todo en un caso tan delicado como la defensa y asegurarse de que su proveedor no provee también al enemigo?, así mismo debería asegurarse de que una empresa que maneja información tan delicada tenga un sistema de seguridad a la altura de la situación (en el caso de Hacking Team esta claro que no…).  Por ultimo tenemos el eterno dilema de ¿quien controla al controlador? ¿A quien dan cuentas estas instituciones? ¿Como sabemos que solo han utilizado Da Vinci para espiar a delincuentes y no para vigilar en general a la población (ciudadanos, adversarios políticos, empresas…) y recortar libertades u obtener beneficios personales? En nuestro país para realizar una escucha telefónica recordemos que es necesario el permiso de un juez… Por si fuera poco, en el código fuente publicado se encuentran trazas que muestran la capacidad de Da Vinci para colocar archivos de pedofilia en el dispositivo espiado… (funcionalidad solicitada por algunos clientes) ¿quizás con el objetivo de justificar el espionaje ante un juez si fuera necesario?

Fragmento de codigo:

path = hash[:path] || [”C:\\Utenti\\pippo\\pedoporno.mpg”, “C:\\Utenti\\pluto\\Documenti\\childporn.avi”, “C:\\secrets\\bomb_blueprints.pdf”].sample

  • Phineas Fisher: Por ultimo, tememos al culpable de que ahora estemos hablando de todo esto: el hacker Phineas Fisher. A nivel técnico no tenemos datos sobre como consiguió la información (a prometido revelarlo mas adelante), sin embargo por la gran cantidad de datos obtenidos (400GB!!!) es posible que se haya tratado de un robo “físico” haciéndose con un disco duro o accediendo “físicamente” a algún ordenador de la empresa Hacking Team y copiándose los datos a un Disco externo. Pero en cuanto a su motivación, en mi opinión hay tres hipótesis principales:

Venganza: Podría tratarse un un miembro (o ex-miembro) de Hacking Team cuyo propósito es el de vengarse de la empresa que lo ha menospreciado, despedido, etc.

Competencia: En el mundo de la Seguridad Informática hay una guerra despiadada por conseguir los mejores clientes (los que mas pueden pagar) y seguro que algunas empresas han salido beneficiadas con este escándalo. Incluso podrían haber contratado a algún trabajador de Hacking Team para hacer el trabajo sucio.

Filosofia Full Disclosure: En castellano se traduciría como Revelación Completa y es una ética muy extendida en el mundo Hacker. Se basa en la idea de que los “malos” suelen tener la información, así que cuando un hacker “ético” la consigue (información) debe hacerla pública con todo detalle para que todos estemos en las mismas condiciones. Esto hace que haya transparencia, que todos dispongamos de toda la información (no solo algunos privilegiados) y así podamos obrar con conocimiento y en consecuencia. Esta podría haber sido también una de las motivaciones que han llevado a Phineas Fisher a publicar los datos de Hacking Team.

Como conclusión, podemos decir que las herramientas de hacking en sí no son buenas ni malas, si no que al igual que ocurre con el fuego o la energía atómica, está en las manos del ser humano el hacer buen o mal uso de ellas. Aunque exista una “filosofía hacker” según la cual el objetivo de los ataques de hacking debe ser el estudio y la mejora de los sistemas y nunca  el hacer daño por que sí u obtener beneficio personal (dinero, fama…), hay que pensar que la Seguridad Informática es un negocio multimillonario que puede hacer que los fines altruistas queden relegados a un segundo plano. Si lo pensamos bien no es tan raro, no hay mas que pensar en sectores como el de la sanidad (farmacéuticas, etc) o la alimentación.

Unidad 2, Tarea 3

Leave a comment