lunes, 11 de abril de 2016

José Carlos Norte: "Durante años lo único que programé fue malware"

José Carlos Norte. CTO de la empresa EyeOS.

José Carlos, a sus 28 años, es uno de esos hackers hechos a sí mismos y totalmente autodidactas que llevan el gusano de la curiosidad en la sangre y no paran de investigar, aunque sean el CTO de una empresa como EyeOS, pionera en virtualización y hoy propiedad de Telefónica. Recientemente ha descubierto que miles de camiones, ambulancias, furgonetas y otros vehículos de flota usan una marca de dispositivos para comunicarse con la central que permite geolocalizarlos, pararles el motor y otras tropelías remotas.

El descubrimiento le ha valido salir en medios de todo el mundo. No es la primera vez que José Carlos aparece en los papeles aunque la primera, cuando tenía 18 años, fue desafortunada. La recuerda con una mezcla de tristeza y orgullo: la Guardia Civil le detuvo, acusado de liderar un grupo de chavales que "defacearon" las webs de diversos medios de comunicación. Tuvo que esperar 8 largos años para ser juzgado y acabar pagando una multa de 60 euros.

- ¿Cómo fue lo de ese grupo de... script kiddies?

- Empezó siendo de script kiddies, ya que lo formamos cuando teníamos 15 años. Pero allí habíamos 3 o 4 personas con un talento bastante grande, que hoy en día son altos cargos en empresas relacionadas con la informática. Imagina a un grupo de niños que va evolucionando hasta que la cosa empieza a ir en serio. Muy en serio. Con el talento que teníamos, podíamos hacer muchas cosas: desarrollábamos nuestros propios exploits, nos pasábamos semanas auditando software para encontrar 0days y aumentar nuestra capacidad de intrusión...

Estaba Álex Fiestas, que acabó siendo desarrollador de KDE y un importante miembro de su comunidad, y también Sergio Arcos, que acabó trabajando para Blueliv (empresa de seguridad de Barcelona) y luego se fué a Japón, donde lidera un equipo técnico para otra empresa. Muchas de las cosas que hacíamos ahí todavia no son conocidas.

- ¿Por ejemplo?

- Todo lo hacíamos para divertirnos y aprender. Nunca ganamos dinero ni lo pretendíamos. Éramos un grupo de adolescentes con mucho talento, tiempo libre y sin ningún mentor, descubriendo el mundo, entendiendo cómo funcionan las cosas y, como consecuencia, rompiendo cosas sin parar. Hicimos muchísimas tonterías, pero conforme crecíamos la cosa se fue poniendo cada vez más seria y, realmente, no sabes cuándo ha pasado, pero empiezas metiendo comillas en la barra de direcciones y creando malware en Visual Basic 6 y terminas desarrollando exploits propios para bugs 0day que tú mismo has encontrado en software como Apache, Samba, etc.

Nos dedicábamos a varias cosas. Nuestra actividad principal era auditar software, crear herramientas de hacking específicas, leer todo lo que salía, desarrollar exploits y tradear con ellos a cambio de otros exploits... De hecho yo aprendí a programar auditando software y creando malware. Y eso me ha hecho entender muchísimas cosas de una forma diferente. Durante años lo único que programé fue malware de todo tipo y herramientas de seguridad.

- ¿Cómo fue tu detención por parte de la Guardia Civil?

- Cuando tenía casi 18 años, el grupo se disolvió. La gente empezaba a estudiar en la universidad, algunos trabajaban, otros se habían echado novia... Yo había empezado a trabajar como consultor en Java para una consultora de Barcelona junto con mi mejor amigo, Álex Fiestas.

Cuando llevaba 2 semanas en la empresa y aún estaba en pruebas, una mañana me suena el móvil y era mi madre. Cuando lo cojo solo escucho: "José Carlos, que has hecho? Está aqui la Guardia Civil, te están buscando!", luego, de fondo, escuché: "Señora, cuelgue, no puede avisar a nadie!" y la llamada se cortó.

Me quedé blanco, literalmente. Me temblaban las manos y no podía ni levantarme de la silla. Intenté hablar con Álex, pero no podía articular palabras... Al final cogimos un taxi y fuimos juntos a mi casa a ver qué pasaba. Por mi cabeza pasaban miles de cosas; durante los años que duró el grupo habíamos hecho muchas cosas y no sabía la razón por la que habían ido a mi casa... Cuando llegué, había coches de la Guardia Civil abajo. Subí a casa y había mucha gente... ayudantes judiciales, policías... Todos los Guardias Civiles iban de paisano, pero iban armados.

Al entrar llegué hasta mi habitacion y allí habían 3 o 4 personas catalogándolo todo, etiquetándolo y guardándolo en cajas y bolsas. Revolvieron toda mi habitación y se llevaron cualquier cosa electrónica. Un policía me preguntó directamente: "¿Eres José Carlos Norte alias XXXX alias XXXX alias XXXX?"... No sabía que contestar. Le dije que sí, dudando.

Me pidió el D.N.I., se lo guardó y me dijo: "A partir de este momento quedas detenido, ¿Conoces tus derechos o quieres que te los explique?...". Luego repitió el mismo proceso con Álex. Siempre se ha arrepentido de acompañarme ese día. Todo fué bastante de pelicula. Al bajar de casa para llevarme al cuartel, iba con dos guardia civiles de 2 metros cada uno, pero no me esposaron. Estuve detenido de las 12 del mediodia a la 1 de la madrugada, aislado en una celda y, de vez en cuando, me sacaban para hablar conmigo, como en las películas.

- ¿Qué siente un hacker cazado?

- Dentro de todo lo que hacíamos, nos detuvieron por una tontería mayúscula, una de esas cosas tontas que haces una tarde, no le das importancia y no tomas ninguna medida de seguridad porque para ti es una tontería. Es por eso que nunca me he considerado un hacker cazado: más bien me considero un joven autodidacta que experimentó en Internet durante unos años. Un día hice una tontería de forma despreocupada y me detuvieron, pero nada mas.

La policia en España no tiene medios para localizar y detener a nadie que se proponga hacer daño en Internet de forma organizada y profesional. Las detenciones de hackers siempre han sido grupos de jóvenes que están experimentando y hacen un poco el tonto y se descuidan. O bien delincuentes tradicionales que clonan tarjetas de crédito o similares, o el novio que espía a su novia con un malware precocinado. Yo en España he conocido muy de cerca mucha gente con botnets y operaciones espectaculares montadas, que bajo la legislación española serían perseguibles y que nunca van a ser detectados por los medios sofisticados que utilizan.

- Hoy eres CTO de nada más ni nada menos EyeOS, ¿cómo llega un hacker que ha tenido problemas con la ley a tan alto cargo?

- Cuando me detuvieron un señor de la Guardia Civil llamó a mi trabajo para que me despidieran. Nunca he entendido la razón. Como no tenía trabajo empecé a buscar que hacer y encontré EyeOS. En aquel momento no era una empresa, era Pau García Milà y un amigo que hacían un experimento y poco más. Lo primero que hice fue auditarlo y estaba lleno de agujeros de seguridad. Decidí enviarle un aviso de un agujero de seguridad cada día. Enseguida hice buenas migas con Pau.

Un día quedamos, nos conocimos y me propuso unirme a ellos. Le dije algo así como: "Solo si me prometes no volver a programar", ya que aquello era un desastre. Empecé a vivir días en casa de Pau, o en la propia oficina. Luego EyeOS se convirtió en empresa y el resto es una historia conocida :)

- Vi que habéis liberado el código de eyeOS.

- Hemos liberado como open source una de nuestras piezas de propiedad intelectual más importantes, un cliente web de un protocolo de virtualización. En el futuro va a haber mas noticias relacionadas con EyeOS y el software libre.

- Últimamente has descubierto que algunos camiones son hackeables y lo contaste a los medios sin avisar antes a la empresa responsable. ¿Por qué?

- Por muchos motivos... En primer lugar, la reforma del Código Penal que criminaliza el hacking de una forma ridícula hace muy díficil crear un marco legal de colaboración con la empresa para estos temas. Cuanto más criminalizan el hacking en sí, más complicada es la colaboración entre auditores independientes y empresas. Con esto los únicos que ganan son los auténticos delincuentes: cuanto menos fluya la información de seguridad y menos colaboren los auditores independientes y las empresas, mejor, porque todo es más inseguro.

En segundo lugar, estoy harto de que las empresas ignoren estas cosas. Creo en el "full disclosure" completo para presionar a las empresas a arreglar sus problemas de seguridad. Esta empresa, con la que he hablado, ha corrido a parchearlo todo y ayudar a sus clientes. En el año 2015, un auditor de seguridad publicó un pdf teórico sobre el mismo aparato que yo he encontrado expuesto en Internet y no le hicieron el mas mínimo caso. Lo que yo he publicado es solo el 1% de lo que ese auditor vio, pero solo lo que yo he publicado ha sido arreglado.

Si unes el hecho de que las empresas ignoran o responden defensivamente a los auditores de seguridad independientes, y que hay un ley que persigue y criminaliza el hacking... el único escenario posible va a ser que, si yo encuentro una vulnerabilidad, o me pagas una recompensa, como hace Google, o lo publico en Internet y punto. Y me pregunto: si existe una forma responsable de hacer esto, ¿por qué cada vez está más criminalizada?

- ¿No es peligroso hacerlo así?

- Es más peligroso callármelo y dejar que esos camiones sigan ahí.

- Acabamos: ¿Qué frase te llevarías a una isla desierta? 

- "History never looks like history when you are living through it" John W.
Gardner



Texto: Mercè Molist


0 comentarios:

Publicar un comentario