Cuartango: "Los agujeros vienen a mi"
Reconocido internacionalmente por su afición a encontrar fallos de seguridad en el navegador Internet Explorer y el programa de correo Outlook, con una imagen totalmente alejada del hacker que pinta la imaginación, corpulento, 40 años, es ingeniero de Telecomunicaciones y "un honrado padre de familia con esposa y tres hijos". Juan Carlos García Cuartango trabaja en lo que más le gusta: predicar, dando cursos de seguridad.
-No sé si soy un hacker, lo que sí sé es que nunca me he dedicado a acceder sin permiso a máquinas ajenas. Y nunca publico fallos hasta que el fabricante afectado haya publicado el correspondiente parche. Estoy "especializado" en encontrar agujeros en programas, pero lo hago irregularmente y en ratos de ocio, no vivo de ello.
-¿Y por qué sólo fallos de Microsoft? ¿Odias a Microsoft?
-Ni odio ni amo a Microsoft, hay gente de Microsoft a quien aprecio pero no odio a nadie. Yo no busco agujeros en sus programas, son los agujeros los que vienen a mi.
-¿Cómo?
-Simplemente, viendo el comportamiento de un programa se intuye que detrás hay un fallo de seguridad. No busco los agujeros, se me aparecen en forma de comportamientos inesperados o negligentes. Practico lógica inversa: calculo donde un programador ha tratado de solucionar un problema para salir del paso o donde un grupo no ha sabido ponerse de acuerdo.
-¿Lógica inversa?
-Microsoft no da el código fuente. Sin embargo, conozco bien la forma de actuar de los programadores y puedo preveer sus errores, sus olvidos, sus pequeñas chapucillas. La gente programa bajo fuertes presiones del 'marketing'. Esto hace que se produzca 'software' cuya calidad deja mucho que desear.
-¿Es cierto que las empresas denuncian a quien les avisa de fallos?
-Es más habitual que te ignoren. Mi relación con Microsoft no existe, mantengo relaciones con gente empleada en Microsoft, que me trata muy bien. Les aviso a través de mi contacto en Redmond, que desde hace más de un año se llama Scott Culp, un padre de familia como yo.
-¿Los hackers que buscan fallos en programas son diferentes de los que buscan fallos en ordenadores?
-Sí, son creadores, son pocos y no suelen explotar los fallos. Los que buscan agujeros en ordenadores se aprovechan de su trabajo.
-¿Crees que existe una ética hacker?
-No. Entrar en una máquina no me parece ni ético ni antiético, nuestra moral judeo-cristiana no contempla el caso. Si alguien conecta un ordenador a Internet sabe que potencialmente toda su información es accesible. ¿Causar daños? Es relativo. Eso sí, fastidiar por fastidiar es una acción desconsiderada en todos los códigos éticos.
-¿Un hacker es un rebelde?
-En efecto. Pero, dado que el concepto derecha-izquierda está perdido, es difícil calificar este tipo de rebeldía. ¿Es un hacker anti-globalizador? Sospecho que no, puesto que se vale de los medios que utiliza la "globalización".
-Aunque investigas solo, ¿tienes contacto con la comunidad?
-Sí y, en general, las relaciones son cariñosas, pero te confesaré que, en cuanto entro en el canal #hack del IRC-Hispano, siempre hay algún gurú que me echa al cabo de tres minutos.
-¿Qué opinión te merece el llamado "hacking ético"?
-He estado durante un tiempo en un empresa de "hackers éticos" y me ha parecido un auténtico saca-cuartos. Las empresas te contratan y tú les dices por dos millones que están mal. El siguiente paso es un trabajo de veinte millones y, el resultado, un informe diciendo que han de gastarse otros veinte para salvar los muebles. Después, una nueva auditoría para ver si se han hecho las cosas bien, otros veinte. Por eso me dedico a la formación, trato de enseñar que esto de la seguridad no es tan complicado como dicen.
Instisec
http://www.instisec.com
Paseante: "Lo hago porque puedo"
Paseante es un héroe del 'underground' hispano. Artista de la paranoia, no se deja hacer fotos, nadie conoce su verdadero nombre y la red no almacena más información sobre él que sus rondas por los sistemas de bancos, como EBankinter, y grandes empresas, como Telefónica. Las publica en "Saqueadores Edición Técnica" (SET), el "ezine" del grupo del mismo nombre, al que ha estado ligado los últimos años. Cercano a los 30, se considera un hacker atípico.
-Mi principal afición es la lectura. No me paso 35 horas seguidas intentando conseguir un reto, ni me quedo sin dormir, ni tengo la constancia ni paciencia necesarias. En esta época de hiper-profesionalización, yo represento el 'amateurismo'. No pretendo demostrar nada, no quiero llamar la atención sobre fallos ni siento la necesidad de dejar como idiota a cualquier empresa que haya tenido un descuido. Lo hago porque me gusta, porque puedo y cuando quiero.
-¿Y cómo va?
-Intento comportarme de acuerdo con mis principios y ser honesto conmigo mismo. Nunca he creido hacer nada ilegal o perseguible. Nunca he lanzado un ataque de Denegación de Servicio, ni interrumpido el servicio de ninguna empresa, ni traficado con datos robados o chantajeado.
- ¿Crees que los grupos, como SET, ayudan a la ética hacker?
-Pueden servir para transmitir una forma de actuar. Con la revista, hemos influido a mucha gente y hemos dado a la escena hispana una publicación estable, la primera reconocida internacionalmente. No es que los grupos sean imprescindibles, pero la idea mítica de que los hackers no hablan con nadie y son completamente desconocidos es bastante ridícula.
-¿Sin ética, eres hacker?
-Sin ética eres consultor de seguridad.
-¿Crees entonces en la ética hacker?
-No en una ética compartida. Pensar de forma independiente es una dolorosa actividad y creemos que basta con cambiar de rebaño para dejar de ser borregos. Y que entonces podemos ser intransigentes y radicales y decir que Microsoft es el mal absoluto, Linux la solución de todo y que estoy autorizado a entrar en cualquier sitio que tenga la más mínima desconfiguración...
-¿No te parece bien entrar en máquinas?
-No es ni debe ser la actividad principal del hacker.
-¿Harías 'hacking' por una causa noble?
-No me veo en plan "Salvad las ballenas", pero si cayese en mis manos una información que he obtenido irregularmente y fuese de interés público, intentaría darla a conocer.
-¿Qué hacen las empresas cuando las avisas de fallos?
-Nunca se sabe, pero yo tampoco me comporto como "el sereno de Internet". He visto muchos ordenadores donde otros habían dejado archivos describiendo el agujero y nadie los había leido. Generalmente, aviso si el fallo es particular del sitio y he conseguido explotarlo.
-Desde direcciones falsas...
-Nos escondemos porque nunca sabes si vas a cruzar la línea o cómo se lo van a tomar.
-¿Cruzar la línea?
-Llegas a una máquina vulnerable, pruebas el fallo, para estar seguro, y te animas, ves que desde ahí puedes llegar a otro sitio, que parece interesante y, cuando te quieres dar cuenta, te has dado tantas vueltas por su red y has visto tantos archivos que no tendrías que haber visto que, eso de "avisar", como que no te atrae. Generalmente, ni a las empresas ni a ti os interesa armar mucho ruido, así que reinstalan, aseguran y no se suelen molestar en más indagaciones.
-¿Que opinión te merece la demonización del hacker?
-La convergencia del poder económico y político es la causante de esta criminalización. Y la mejor forma de combatirla es exportar el modelo GNU de empresa. Muchos ciudadanos están yendo más allá del precio y del embalaje: comercio justo, fondos éticos... Cuando ser "decente" no sólo no sea malo sinó un valor de mercado, no habrá ese interés en buscar enemigos con que sustentar el 'status quo'. Las empresas que no gocen del favor de la comunidad tendrán una existencia corta, dura y desagradable.
SET
http://www.set-ezine.net