0
Eines
barcelona - 9 desembre 2018 2.00 h

Deepak Daswani

Hacker i autor del llibre 'La amenaza hacker'

“Les empreses ‘hacker-friendly’ recompensen qui troba vulnerabilitats”

Les estafes de tota la vida combinades amb la tecnologia tenen un efecte devastador
- barcelona

Després de lle­gir el seu lli­bre vaig córrer a can­viar les con­tra­se­nyes.
És vital tenir unes bones con­tra­se­nyes. Hi ha apli­ca­ci­ons que t’aju­den, però jo no les uti­litzo. Les con­tra­se­nyes han de ser robus­tes, és a dir, han de ser seqüències de lle­tres, números i símbols espe­ci­als que no inclo­guin parau­les que tro­bis al dic­ci­o­nari. Que després se t’oblidi no és tan greu -a mi em passa- perquè les poden recu­pe­rar a través del cor­reu electrònic, que acaba sent la nos­tra iden­ti­tat digi­tal més impor­tant. Per això, el meu con­sell és posar els cinc sen­tits a blin­dar la segu­re­tat del nos­tre cor­reu: bona con­tra­se­nya, totes les opci­ons de segu­re­tat ben con­fi­gu­ra­des i la veri­fi­cació en dos pas­sos, que et per­met asso­ciar sem­pre el telèfon mòbil.
El ciber­crim s’ha con­ver­tit en una de les acti­vi­tats delic­ti­ves més lucra­ti­ves, mou uns 600.000 mili­ons de dòlars cada any, més que el nar­cotràfic o el con­tra­ban. Qui hi ha dar­rere d’aquest tipus de delinqüència?
Dar­rere de les cam­pa­nyes més viru­len­tes i mas­si­ves amb un cert impacte, no hi ha dos paios en un garatge, tot i que a vega­des sí, però no és el més habi­tual, sinó estruc­tu­res pro­fes­si­o­nals de dese­nes de per­so­nes sovint radi­ca­des a Rússia, la Xina o el Bra­sil.
La sen­sació és que es mouen amb una certa impu­ni­tat.
Jo sem­pre animo els usu­a­ris a denun­ciar perquè només així poden actuar les uni­tats de les for­ces i cos­sos de segu­re­tat que per­se­guei­xen el ciber­crim. Però és cert que hi ha molts usu­a­ris que pen­sen que no val la pena i és un error.
Quin és el delicte més freqüent?
En els dar­rers anys, les cam­pa­nyes de pro­gra­mari maliciós estan a l’alça, tot i que pot­ser han cai­gut una mica dar­re­ra­ment. Sí que hi ha algu­nes pràcti­ques que s’han posat molt de moda, com ara infec­tar webs per robar la capa­ci­tat de còmput dels ordi­na­dors i així minar mone­des vir­tu­als. Sense saber-ho estàs apor­tant part de la capa­ci­tat del teu ordi­na­dor perquè un altre es lucri a costa teva.
Vostè defensa que un ‘hacker’ no és un pirata, ans al con­trari, és una per­sona que uti­litza el seu conei­xe­ment per des­co­brir les vul­ne­ra­bi­li­tats que tenen els sis­te­mes informàtics de les orga­nit­za­ci­ons, a vega­des a instàncies d’elles matei­xes. En aquest sen­tit, què és un ‘bus bounty’?
És un pro­grama de recom­pen­ses que les orga­nit­za­ci­ons posen a dis­po­sició dels hackers que tro­ben vul­ne­ra­bi­li­tats. D’aquesta manera, les empre­ses tenen hackers fent audi­to­ries de franc i de manera cons­tant. Són les ano­me­na­des empre­ses hacker-fri­endly. Tra­di­ci­o­nal­ment eren grans cor­po­ra­ci­ons tec­nològiques com ara Micro­soft, Goo­gle, Apple i Yahoo però a poc a poc s’hi han anat incor­po­rant empre­ses mit­ja­nes d’altres àmbits. I això és així perquè fun­ci­ona i perquè tot­hom hi gua­nya encara que a algu­nes empre­ses els resulti estrany.
És cert que hi ha un mer­cat de vul­ne­ra­bi­li­tats de sis­te­mes de segu­re­tat?
Efec­ti­va­ment. Si un hacker des­co­breix un forat en un sis­tema el pot repor­tar a l’empresa afec­tada o pot no fer-ho. En aquest dar­rer cas, pot suc­ceir que aquesta feblesa acabi sent com­prada en el mer­cat per governs, cen­trals d’intel·ligència, orga­nit­za­ci­ons ciber­cri­mi­nals o qual­se­vol que tin­gui els diners i les moti­va­ci­ons necessàries. Hi ha pla­ta­for­mes com ara Zero­dium, que es dedica a mediar en aquest tipus de transac­ci­ons, que són lícites. És cert que també hi ha altres mer­cats més fos­cos. Al final el que es busca és ren­di­bi­lit­zar més la tro­ba­lla que no a través del bus bounty.
Quin és el sen­tit d’atacs mas­sius com el de Wan­naCry del maig del 2017?
Nor­mal­ment la intenció d’atacs mas­sius és mone­tit­zar. Però en Wan­naCry va ser un atac estrany, per la manera en què va tenir lloc i perquè la moti­vació podria haver estat una altra. Hi ha qui pensa que era posar al des­co­bert algu­nes vul­ne­ra­bi­li­tats i que ningú se’n bene­ficiés, en línia amb el que explicàvem abans de comer­ci­a­lit­zar-hi. No està clar. En gene­ral, els atacs mas­sius bus­quen màxima ren­di­bi­li­tat i mínima inversió. Es llança la cam­pa­nya a tot el món i sem­pre hi ha qui pica i paga.
En aquests casos, el punt de par­tida és l’engany?
El punt de par­tida és mani­pu­lar els usu­a­ris per obte­nir-ne el que volem, des de la con­tra­se­nya fins al número d’un compte ban­cari, pas­sant per la ins­tal·lació d’un pro­grama pirata o pagar una quan­ti­tat de diners. És el que ano­me­nem engi­nye­ria social, les esta­fes de tota la vida però que com­bi­na­des amb la tec­no­lo­gia tenen un efecte devas­ta­dor; i a vega­des no cal ni infec­tar l’equip amb un virus, sinó fent pen­sar el que no és.
El nos­tre futur depèn de la digi­ta­lit­zació en tots els àmbits. Si ara la nos­tra segu­re­tat està com­pro­mesa, què pot suc­ceir quan les dades mas­si­ves, inter­net de les coses o les mone­des vir­tu­als esti­guin per tot arreu?
Ja enca­de­nem diver­ses dècades de revo­lució digi­tal, però és cert que el ritme s’ha acce­le­rat. Això el que fa és que esti­guem més expo­sats al ciber­crim. Del que es tracta és de conèixer quins són els ris­cos i com ges­ti­o­nar-los. Però més expo­sició no sig­ni­fica més inse­gu­re­tat perquè tot dependrà dels meca­nis­mes de segu­re­tat dels fabri­cants de dis­po­si­tius i dels que nosal­tres incor­po­rem. Amb un seguit de bones pràcti­ques podem mini­mit­zar molt els ris­cos. Estem més expo­sats però no estem venuts.


Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.

Publicat a