| Artículos | 01 MAY 2001

"A los hackers nos motivaba el reto intelectual"

Tags: Histórico
Jeff Moss, fundador de la convención anual de hackers Def Con
Kim Zetter.
Jeff Moss es el fundador de Def Con, una convención anual de hackers que tiene lugar en Las Vegas desde 1993. Este ex-hacker de 30 años también ha fundado BlackHat, un evento para profesionales de la seguridad. PC World.com ha hablado con él sobre el estado de la seguridad en Internet y el papel que juega Def Con tratando de inculcar la ética en los hackers jóvenes.

¿Cómo se convirtió en un hacker?
- No sabía realmente lo que era hackear hasta mi primer año de instituto. Un día me llamó alguien de la otra punta del país y le pregunté cómo se podía permitir el lujo de hacer esas llamadas tan caras. Se rió y me preguntó si bromeaba. Entonces me explicó el funcionamiento de los sistemas telefónicos y la forma de hacer llamadas gratis. Ése fue el comienzo de todo.

¿Por qué dejó de hackear?
- No hay que esperar mucho para darse cuenta de la cantidad de personas que conoces que se están viendo perjudicadas por estas actividades. Tarde o temprano ocurre, hay un tiempo limitado para dedicarse a este tipo de cosas. Cuando acababa el instituto ya me estaba dando cuenta de la situación.

¿Cómo ha cambiado la comunidad de los hackers desde 1993, cuando fundó Def Con?
- Ahora hay muchos más hackers con empleo. Miras a tu alrededor y ves que todos tus amigos son responsables de seguridad de grandes compañías. Y las motivaciones para hackear también han cambiado. Cuando yo empezaba, éramos la primera generación de los ordenadores y era un gran reto conseguir uno. Ahora estamos en la generación de la Nintendo, que ha crecido con los ordenadores y los videojuegos. No ven nada especial en ellos.

¿Cómo ha afectado esto a sus motivaciones?
- Generalmente, si eras un hacker estabas motivado por el reto intelectual. Era una forma de descubrir cómo funcionaban las cosas, y no había manuales donde averiguarlo. Actualmente todo está disponible con sólo hacer una búsqueda en la web. Alguien lo ha publicado, analizado, escrito y sintetizado para que el usuario lo encuentre. Pero cuando yo empezaba tenías que imaginarte cómo era realmente, o encontrar a alguien que supiera más que tú y quisiera enseñártelo... y si no te comportabas adecuadamente, te cortaban la comunicación, no te volvían a pasar más información.

¿Qué tipo de cosas se consideraban inadecuadas?
- Pongamos el caso de que habías aprendido a hacer llamadas gratis. Pero en lugar de utilizarlas para hablar con tus amigos de la comunidad de hackers y aprender más, te dedicabas a venderlas a todo el mundo. En cuanto hacías algo con la intención de ganar dinero pasabas a la categoría de criminal... y nadie quería relacionarse contigo. Los que parecían tener una vena lucrativa eran condenados al ostracismo. Ahora eso no ocurre, el asunto ha crecido demasiado y no hay forma de establecer políticas de autocontrol.

¿Qué ocurrió cuando el Gobierno estadounidense quiso reclutar hackers?
- Yo estaba tratando de atraer conferenciantes a Black Hat y Def Con. Alguien le hizo llegar la información al asistente de Art Money, Secretario de Defensa, que pensó que quizá estuviera interesado. Le dijimos que no hacía falta que viniese si no quería. Y creo que su respuesta fue algo así como “diablos, por supuesto que voy”.

¿Le sorprendió que quisiera dar una conferencia en Def Con?
- La presencia del Gobierno en Def Con era, por un lado, un movimiento de relaciones públicas, y por otro, una actividad de concienciación, haciendo que los hackers se dieran cuenta de las consecuencias de sus actos. Pero me sorprendió que quisiera reclutar hackers. En Black Hat, Art Money hizo una broma: “vaya, veo algunos marines por ahí, y podemos enviarlos a la oficina de reclutamiento”. Todo el mundo rió. Pero era él el reclutador de la marina dispuesto a hacerse con unos cuantos hackers.

¿Consiguió alguno?
- No lo sé. Realmente no buscaban a nadie especial, querían hackers de élite. Pero uno de mis amigos, que impartió una conferencia en Def Con, consiguió un trabajo posteriormente en una gran empresa dedicada a la fabricación de instrumentos militares.

Parece que los agentes del FBI y los militares participan con mucha naturalidad en el juego de “la búsqueda de los federales”.
- Antes descubríamos al FBI y al servicio secreto con facilidad en Def Con. Simplemente iban en plan furtivo. Así que pensé que podíamos invitarles y hacer que se sintieran mejor. Así que ahora los federales se dejan ver para que los encuentren. Hasta el punto de que si aparecen con una bolsa llena de golosinas significa que quieren hacer negocios contigo.

Usted ha llegado a reunir hackers, representantes del Gobierno y profesionales de la seguridad hablando en la misma sala. ¿Hemos llegado al punto en que se llevan bien entre ellos?
- Ése era el principal objetivo de Def Con al principio. Pensé en conseguir la presencia de ciertas autoridades para hablar de lo que hacían y eliminar muchos mitos. Así que invitamos a Gail Thackeray, fiscal de la Operación Sundevil por el ataque a un grupo de operadores de BBS, para que explicase a la gente qué es real-mente legal y qué no lo es. Hizo que algunos se enfadasen, pero era una perspectiva a la que nunca se ha-bían visto expuestos y les forzó a pensar en ciertas cosas. Tratamos de que se den cuenta de que hay un mundo muy grande ahí fuera y las consecuencias pueden ser enormes.

Así que es un mentor de los hackers jóvenes.
- No creo que se pueda forzar a la gente a ser ética. Pero si los hackers jóvenes respetan a los mayores, y los mayores les dicen que sólo deben hacer cosas buenas, un cierto porcentaje de ellos emulará a los “buenos”.

¿Qué ocurre entonces con Back Orifice? Cuando los miembros de Cult of the Dead Cow (CDC) mostraron su troyano en Def Con en 1998, lo pusieron a disposición de la audiencia de forma gratuita en CD-ROM.
- Microsoft System Management Server hace lo mismo que Back Orifice: se instala secretamente, permite acceder remotamente al ordenador y cualquiera puede obtenerlo. La única diferencia está en que Microsoft lo vende por 2.000 dólares y CDC lo repartía gratis.

Pero es cuestión de disponibilidad. Un chaval de 16 años probablemente no pagará ese precio por SMS, mientras que CDC lo dio gratuitamente.
- Bueno, no tengo por qué estar exactamente de acuerdo con ellos. Pero no creo que haya nada malo en esa tecnología... sólo la orientación que le dieron la convierte en ofensiva. Por ejemplo, usted puede decir que hay una vulnerabilidad en un conmutador telefónico, y que si se hace esto y lo otro se pueden hacer llamadas sin pagar. Otra forma de representarlo es decir “aquí tenéis tres sencillos pasos para defraudar a la compañía telefónica”.

Eso es como las advertencias que ponía Loompanics en sus libros, que explicaban cómo hacer bombas y otras actividades ilegales. Decía: aquí se incluye información de cómo robar identidades, pero no debe ser usada para ese propósito.
- Es la misma diferencia que existe entre la lectura de un informe de seguridad que explica la última vulnerabilidad y la descarga de una herramienta programada para hacerlo. No es el contenido lo que molesta a la gente, sino su presentación.
Se podrí

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información