27 Apr Mundo pirata: por qué todo se puede hackear
A lo largo de un par de días en febrero, cientos de miles de impresoras en restaurantes de todo el mundo comenzaron a comportarse de modo extraño. Algunas imprimían extrañas imágenes de computadoras y robots gigantes firmadas “con amor del dios Hacker en persona”. Algunas informaban a sus dueños que “su impresora ha sido Pwnd’d”. (Pwnd’d es la abreviatura de la jerga del chat que quiere decir “owned” en inglés, cuya traducción directa es “apropiado/a” o, alternativamente, “controlado/a”, “dominado/a”, n. del T.) Algunas les decían: “Por amor de dios, por favor cierre este puerto”. Cuando el dios Hacker dio una entrevista al sitio de tecnología Motherboard sostuvo que era un alumno de escuela secundaria en Gran Bretaña que usaba el seudónimo Stackoverflowin (pila en derrame). dijo que, enojado por el estado peligroso en que se encuentra la seguridad informática, había decidido hacer un servicio al público demostrando lo fácil que es tomar el control.
no todos los hackers tienen ese espíritu de servicio público. en febrero de 2016 cibercriminales robaron Us$ 81 millones directamente del Banco Central de Bangladesh, y se hubieran quedado con más dinero si no fuera por un error de tipeo crucial. en agosto la Agencia nacional de seguridad de estados Unidos (conocida por la sigla nsA) vio cómo sus propias herramientas de hackeo eran difundidas en Internet por un grupo que se hace conocer como shadow Brokers (agentes de las sombras). (la CIA sufrió una humillación similar en marzo pasado.) en octubre se utilizó un software, llamado Mirai, para inundar dyn, una compañía de infraestructura de Internet, con tanto tráfico sin sentido que sitios tales como Twitter y reddit quedaron inaccesibles para muchos. Y el hackeo de los servidores de correo del Comité nacional demócrata y la subsiguiente difusión de comunicaciones embarazosas parecen haber sido parte de un intento de influir en el resultado de las elecciones estadounidenses.
Pero la mayor parte del hackeo, lejos de la gran escala y la gran estrategia, es una muestra de vandalismo. Y es cada vez más fácil. Foros oscuros facilitan la venta de datos de tarjetas de crédito robados, que se venden en paquetes de a miles. Traficantes de datos ofrecen “puntos débiles”: fallas de código que permiten a atacantes maliciosos subvertir sistemas. También se puede comprar ransomware, programas que permiten encriptar fotos y documentos en las computadoras de las víctimas, para exigir rescate (ransom, en inglés) a cambio de la clave para recuperar los datos. estos mercados son tan sofisticados que ya no se necesita saber programar. se pueden alquilar por hora botnets, bandadas de computadoras manejadas por software como Mirai, que pueden utilizarse para inundar sitios con tráfico, impidiéndoles funcionar hasta que se pague el rescate. Igual que un negocio legítimo, los que manejan esas botnets por unos dólares más ofrecen soporte técnico si algo sale mal.
nadie sabe cuál es el costo total de todo este hackeo (no se reporta la mayoría de los ataques pequeños y muchos mayores tampoco). Pero todos concuerdan en que es probable que vaya en aumento, porque está por expandirse notoriamente el margen para la actividad maliciosa. “estamos construyendo un robot de tamaño mundial –dice Bruce scheier, analista de seguridad– y es la Internet de las Cosas.” la IdC es una frase utilizada para describir la informatización de todo, desde autos y medidores de electricidad, pasando por los juguetes y los dispositivos médicos, llegando hasta las luces de una casa. en 2015 un grupo de investigadores de seguridad informática demostraron que era posible tomar control en forma remota de ciertos autos de la marca Jeep. Cuando se usa el programa Mirai para construir una botnet, éste busca dispositivos tales como grabadoras de video y webcams; la botnet para heladeras está a la vuelta de la esquina.
No está todo bien
“el supuesto es que todo es vulnerable”, dice robert Watson, científico informático de la Universidad de Cambridge. los motivos de esto tienen raíces profundas. la vulnerabilidad de las computadoras se deriva de lo básico de la tecnología informática, la cultura del desarrollo de software, el crecimiento a ritmo irrefrenable del comercio online, los incentivos económicos para las firmas informáticas y los intereses contradictorios de los gobier- nos. Pero el daño creciente resultante de la inseguridad informática está comenzando a impulsar a compañías, académicos y gobiernos a la acción.
los chips informáticos modernos típicamente son diseñados por una compañía, fabricados por otra y, luego, montados en circuitos por terceras partes junto a otros chips de otras compañías. También es otra la compañía que produce el software de más bajo nivel necesario para que la computadora funcione. Y es otro el que provee el sistema operativo que permite que la máquina utilice determinados programas. los programas provienen de otros programadores. Un error en cualquier etapa o en los vínculos entre cualquiera de las fases puede hacer que falle todo el sistema o que sea vulnerable a ataques.
no es siempre fácil ver la diferencia. Peter singer, miembro de new America, un centro de estudios, cuenta la historia de un defecto de fabricación descubierto en 2011 en algunos de los transistores de un chip utilizado en helicópteros navales estadounidenses. si no se hubiera descubierto esa falla habría impedido a esos helicópteros disparar sus misiles. los chips en cuestión, como la mayoría, fueron fabricados en China. la marina eventualmente concluyó que el defecto había sido un accidente, pero no sin antes haber considerado seriamente la idea de que había sido deliberado.
la mayoría de los hackers no cuentan con los recursos para meterse con el diseño y la fabricación de chips. Pero no los necesitan. el software ofrece profusión de oportunidades para la subversión. rachel Potvin, ingeniera de Google, dijo que en 2015 en conjunto la compañía manejó 2000 millones de líneas de código en varios productos. esos programas, a su vez, deben funcionar con sistemas operativos que son cada vez más complicados. linux, un sistema operativo ampliamente utilizado, llegó a los 20,3 millones de líneas de código en 2015. se cree que la última versión del sistema operativo Windows de Microsoft tiene alrededor de 50 millones de líneas. Android, el sistema operativo más popular para celulares, tiene 12 millones de líneas.
lograr que cada una de esas líneas interactúe adecuadamente con el resto del programa del que forma parte y con cualquier software y hardware con los que ese programa pueda necesitar comunicarse es un objetivo que nadie puede lograr de entrada. Un estimado de steve McConnell, un gurú de la programación, citado a menudo, es que la gente que escribe el código fuente –las instrucciones compiladas al interior de una máquina para conformar programas ejecutables– comete entre 10 y 50 errores cada 1000 líneas. Una verificación cuidadosa en las grandes compañías de software puede reducir la cifra a 0,5 errores por 1000 líneas aproximadamente. Pero aun esta tasa de error implica miles de errores en un programa moderno, cada una de las cuales puede ofrece la posibilidad de ser explotada. “los atacantes sólo tienen que encontrar una debilidad –dice Kathleen Fisher, científica informática de la Universidad Tufts en Massachusetts–. los defensores tienen que tapar cada agujero, incluyendo los que no conocen.”
Todo lo que se necesita es un modo de lograr que una computadora acepte un conjunto de comandos que no debiera aceptar. Un error puede querer decir que hay resultados de un comando particular o de una secuencia de comandos que nadie previó. Puede haber maneras de conseguir que la computadora trate datos como instrucciones, dado que ambos son representados dentro de la máquina de la misma forma, como cadenas de dígitos. “stackoverflowin”, el seudónimo escogido por el hacker de las impresoras de los restaurantes, hace referencia a una de tales técnicas. si hay datos que se “derraman” de una parte del sistema asignado a memoria a una parte donde la máquina espera encontrar instrucciones, se los tratará como un conjunto de nuevas instrucciones. (También es posible revertir el proceso y convertir instrucciones en flujos inesperadas de datos. en febrero, investigadores de la Universidad Ben-Gurión de Israel mostraron que podían sacar datos de una computadora hackeada usando la luz que muestra que el disco rígido está trabajando, para enviar esos datos a un dron.)
Policía del karma
Todos estos programas se montan sobre tecnologías más antiguas que a menudo están basadas en modos de pensar que vienen de los tiempos en que la seguridad prácticamente no era una preocupación. esto vale particularmente para Internet, originalmente una herramienta a través de la cual académicos compartían datos de investigación. las primeras versiones de Internet eran controladas principalmente por el consenso y la ética, incluyendo fuertes presunciones contra su uso para beneficios comerciales.
Vint Cerf, uno de los pioneros de Internet, dice que cuando habló de incorporar la encriptación en la década del 70, sus
esfuerzos fueron bloqueados por los espías estadounidenses, que consideraban la criptografía como un arma para los Estados nacionales. Por tanto, en vez de ser segura desde un inicio, la Red necesita capas de software adicionales de medio millón de líneas para asegurar cosas como datos de tarjetas de crédito. Todos los años se informa de nuevas vulnerabilidades y debilidades en esa capa.
Los cimientos inocentes de muchos sistemas de computación siguen siendo motivo de preocupación. Al igual que la inocencia de muchos usuarios. Si se envía a suficientes personas un correo de aspecto inocuo que pide cables o contiene lo que parecen datos pero es en realidad un conjunto de instrucciones arteras, hay muchas probabilidades de que alguien hará clic en algo que no debería. Por más que los administradores de red intenten inculcar buenos hábitos en quienes las utilizan, si hay suficientes personas para tantear, son elevadas las probabilidades de que un malhechor pueda infiltrarse gracias a la actitud confiada, la indolencia o el error de alguna de ellas.
Lleva tiempo desarrollar una buena cultura de seguridad tanto en quienes desarrollan software como entre las firmas y sus clientes. Éste es uno de los motivos para preocuparse por la Internet de las Cosas. “Algunas de las compañías que fabrican lámparas o medidores eléctricos inteligentes no son compañías de computación, hablando en términos culturales”, dice Graham Steel, que dirige Cryptosense, una firma que hace análisis criptográfico automatizado. Una base de datos que pertenece a Spiral Toys, firma que vende osos de peluche conectados a Internet por medio de los cuales los niños pueden enviar mensajes a sus padres, quedó desprotegida online por varios días hacia finales de 2016, permitiendo obtener datos personales y mensajes de los más chicos.
Incluso en firmas que son conscientes de los problemas, tales como compañías automotrices, puede ser difícil garantizar la seguridad. “Las grandes firmas cuyos logos están en el auto que uno compra en realidad no hacen los autos –señala Fisher–. Ensamblan muchos componentes de proveedores menores y cada vez más cada uno de esos componentes tiene software. Es realmente difícil para las compañías automotrices tener una visión general de todo lo que se incorpora.”
Además de los efectos de la tecnología y la cultura, hay una tercera causa funda- mental de la inseguridad: los incentivos económicos del negocio informático. Las empresas de Internet en particular valoran el crecimiento por encima de casi cualquier otra cosa, y el tiempo dedicado a escribir código seguro es tiempo no dedicado a sumar clientes. “Hay que enviar el producto el martes y los problemas de seguridad quizá los podamos arreglar la semana que viene” es la actitud, según Ross Anderson, otro experto de seguridad informática de la Universidad de Cambridge.
Los largos acuerdos de licencia que los usuarios de software deben aceptar (casi siempre sin leerlos) comúnmente niegan toda responsabilidad de parte de la firma de software si algo sale mal, incluso en el caso de que el software en cuestión esté diseñado específicamente para proteger computadoras de virus y cosas por el estilo. Tales negativas a asumir responsabilidad no son aceptadas en todas partes y en todos los casos. Pero las cortes en EE.UU., el mayor mercado de software del mundo, en general dan por válidas esas cláusulas. Esta impunidad es uno de los motivos por los que el sector de la informática es tan innovador y tan rápido en su evolución. Pero la falta de protección legal cuando un producto resulta vulnerable representa un costo significativo para los usuarios.
Si a los clientes les resulta difícil ejercer presión a través de la justicia, se podría esperar que el Estado interviniera. Pero Anderson señala que los gobiernos tienen incentivos contradictorios. En algunos casos quieren que la seguridad informática sea fuerte, porque el hackeo pone en peligro a los ciudadanos y a sus propias operaciones. Por el otro lado, las computadoras son herramientas de espionaje y vigilancia y más fáciles de utilizar como tales si no son completamente seguras. Existe la idea, ampliamente difundida, de que la NSA ha incorporado deliberadamente debilidades a algunas de sus técnicas de encriptado con este fin.
El riesgo es que cualquiera que descubra esas debilidades pueda hacer lo mismo. En 2004 alguien (ninguna autoridad ha dicho quién) pasó meses escuchando llamadas de celular a los niveles superiores del gobierno griego –incluyendo el entonces primer ministro, Costas Karamanlis–, subvirtiendo capacidades de vigilancia incorporadas al kit que Ericsson había provisto a Vodafone, el operador de redes correspondiente.
Algunas compañías grandes y algunos gobiernos también ahora están tratando de resolver problemas de seguridad de modo sistemático. Cazadores de fallas freelance a menudo pueden reclamar pagos de firmas en cuyo software encuentran problemas. Microsoft vigorosamente presiona a sus clientes para que reemplacen versiones atrasadas, menos seguras, de Windows por las más nuevas, aunque sólo ha tenido éxito limitado. En un intento por terminar con la mayor cantidad de problemas que sea posible, Google y Amazon están desarrollando sus propias versiones de protocolos de encriptado estándar, reescribiendo de arriba abajo el código que garantiza la seguridad de información de tarjetas de crédito y otros ítems tentadores. La versión de Amazon se ha difundido como código abierto, permitiendo que todo el que quiera lo estudie y sugiera mejoras. Los proyectos de código abierto en principio ofrecen una amplia base de críticas y mejoras. Pero este enfoque sólo funciona bien si atrae y retiene una comunidad dedicada de programadores.
Más fundamental es el trabajo pagado por la Agencia de Proyectos de Investigación Avanzada para la Defensa (Darpa es la sigla en inglés), una rama del Departamento de Defensa que fue instrumental en el desarrollo de Internet. En la Universidad de Cambridge, Watson ha estado usando fondos de esta agencia para diseñar Cheri, un nuevo tipo de chip que intenta incorporar la seguridad al hardware en vez de al software. Un recurso, dice, es que el chip maneja su memoria de un modo que asegura que no se pueda confundir datos con instrucciones, lo que elimina toda una categoría de vulnerabilidades.
“Podemos tener un navegador de la Red en el que en cada parte de una página –cada imagen, cada aviso, el texto y demás– todos corren en sus pequeños enclaves seguros”, dice Watson. Cree que las innovaciones de su equipo podrían agregarse fácilmente a los chips diseñados por ARM e Intel, que son los que permiten funcionar a celulares y laptops.
Otro proyecto de Darpa se concentra en una técnica llamada “métodos formales”. Esto reduce los programas de computación a sentencias gigantes de lógica formal. A partir de allí se pueden aplicar herramientas de demostración de teoremas matemáticos para mostrar que un programa se comporta exactamente como quieren sus diseñadores. Fisher dice que los científicos informáticos han estado explorando enfoques por el estilo desde hace años, pero hace poco tiempo que el abaratamiento del poder de la computación y de las herramientas utilizables permitió que los resultados se apliquen a piezas de software lo suficientemente grandes como para que sea de interés práctico. En 2013 el equipo de Fisher desarrolló un software de control de vuelo verificado formalmente para un dron para aficionados. Un equipo de atacantes, a pesar de que se les dio pleno acceso al código fuente del dron, no pudo hackearlo.
“Pasará mucho tiempo antes de que podamos usar estas cosas en algo tan complicado como un sistema operativo completo”, dice Fisher. Pero señala que muchas de las aplicaciones informáticas más riesgosas necesitan programas simples. “Cosas como bombas de insulina, autopartes, todo tipo de dispositivos de IdC son cosas a las podríamos aplicar esto.”
Pero lo más fundamental es el modo en que están cambiando los mercados. La ubicuidad de los ciberataques y la aparente imposibilidad de prevenirlos están persuadiendo a las grandes compañías de buscar un antiguo remedio para tales riesgos inevitables: el seguro. “El mercado de la ciberseguridad es de entre US$ 3000 y 4000 millones al año –dice Jeremiah Grossman, de SentinelOne, compañía que vende protección contra hackeo (y que, cosa inusual, ofrece garantía de que sus soluciones funcionan)–. Y está creciendo un 60% al año.”
Al crecer los montos del seguro, las compañías pueden comenzar a exigir más del software que usan para protegerse, y al aumentar la cantidad de casos en que las aseguradoras se ven obligadas a pagar, éstas exigirán que el software sea usado de modo adecuado. Ése sería un alineamiento virtuoso de intereses. Un informe publicado en 2015 por PwC, una consultora de management, concluye que un tercio de las empresas estadounidenses tienen cobertura de ciberseguro de algún tipo, aunque a menudo éste ofrece protección limitada.
Pero la que se demostrará más contenciosa es la cuestión de la responsabilidad de los productores de software respecto de sus productos. Los precedentes detrás de esto pertenecen a una era en que el software resultaba una novedad en los negocios y en la que las computadoras manejaban principalmente cosas abstractas tales como hojas de cálculos. En esos tiempos la cuestión era menos acuciante. Pero en una época en el que el software está en todas partes y autos o dispositivos médicos informatizados pueden directamente matar personas no se puede esquivar la cuestión para siempre.
“El sector resistirá todo intento de imponerle responsabilidad absolutamente, con uñas y dientes”, dice Grossman. Además de la habitual resistencia a la normativa que impone costos, las compañías de Silicon Valley a menudo tienen tendencias libertarias con raíces en la contracultura de la década de 1960, lo que se ve reforzado por la creencia –interesada– de que todo lo que haga más lenta la innovación –definida de modo bastante estrecho– es un ataque al bien público. Kenneth White, un investigador de la criptografía de Washington, alerta que si el gobierno se pone demasiado firme, el negocio del software puede terminar pareciéndose a la industria farmacéutica, donde la regulación dura es uno de los motivos por los que el costo de desarrollar una nueva droga ahora es cercano a US$ 1000 millones. Por lo tanto hay un poderoso incentivo para que el sector informático encuentre soluciones antes de que el Estado se las imponga. Pero si hay muchos más años como 2016, la oportunidad para que el sector haga eso desaparecerá como el contenido de una cuenta bancaria hackeada.
LA NACION/THE ECONOMIST
POR GABRIEL ZADUNAISKY