Cómo el grupo de hackers de Beto O'Rourke cambió la ciberseguridad como lo conocemos
Desde hace poco tiempo, el colectivo de piratería más antiguo de América era más conocido no por su trabajo, sino por sus ex alumnos o, más específicamente, por un ex alumno en particular y por su actual candidato presidencial : Beto O'Rourke. Esto ciertamente marca un hito tanto en la política como en la cultura estadounidense, pero no fue la motivación principal para que Joseph Menn escribiera su nuevo libro sobre el Culto de la Vaca Muerta (mejor conocido como cDc), el grupo del que O'Rourke proviene. .
El trabajo, Culto de la vaca muerta: cómo el súper grupo de piratería original podría salvar el mundo , asume la ardua tarea que plantea en su subtítulo, al menos en lo que respecta a la seguridad de los sistemas digitales del mundo. Mientras los dispositivos informáticos conectados a la red se hayan extendido en nuestra vida cotidiana y los profesionales de la seguridad de la información se hayan apresurado a bloquearlos, la industria aún tiene que encontrar su apoyo en la empresa. Cualquier persona que haya visto el título de incumplimiento después del título de incumplimiento puede corroborar esto.
"Muchas otras personas han hecho libros que denuncian uno u otro aspecto del problema [en seguridad de la información]", dijo Menn. "Pero no había visto ningún libro legible y agradable que indicara un camino a seguir".
Cuando le preguntamos qué le llevó a recordar al colectivo de hackers legendarios ahora, y para las audiencias que quizás no sepan de ellos, señaló la insurrección de los empleados del sector de tecnología de alto rango en la ausencia de un liderazgo de principios de los titanes de la industria. .
"Cuando comencé a trabajar hace tres años, no hubo eventos discretos [que inspiraron el libro]", dijo. "Pero la vulnerabilidad de Facebook a la información errónea patrocinada por el estado durante las elecciones de 2016, el retroceso de la gran tecnología en otras cuestiones morales y el aumento del activismo de rango y archivo de Silicon Valley moldearon mi pensamiento y pusieron una ventaja en mi opinión".
A través de la lente del estudio astuto de Menn sobre la historia de la piratería, esta falta de consenso de la industria sobre cómo progresar no se debe a que los profesionales de la seguridad no se hayan movido lo suficiente más allá de sus raíces, sino precisamente porque se han alejado demasiado.
"Una de las principales razones por las que emprendí este proyecto es aumentar el aprecio por los hackers como pensadores críticos", dijo. "Necesitamos el pensamiento crítico más que nunca".
Una noble persecución
Cult of the Dead Cow, formado en el auspicioso año ciberpunk de 1984 en Lubbock, Texas, fue un grupo de bromistas con conocimientos técnicos. Como muchos piratas informáticos desde entonces, y no realmente antes, estaban desilusionados con el status quo corporativo y tan aburridos (y descarados) lo suficiente como para presionarlos de la manera más provocativa que pudieran imaginar.
Recibiendo el tipo de seudónimos piratas informáticos que ahora son idiomáticos para ese enclave cultural, y estableciendo múltiples capas de significado en su nombre de grupo, no solo Lubbock es el destino final para millones de bovinos, sino que los piratas informáticos tienden a entregar "0xDEADBEEF" a sus víctimas. 'sistemas : se proponen experimentar con cómo incentivar un comportamiento corporativo más responsable desde la seguridad del anonimato. Se ignoraron las normas, se rompieron las leyes menores y se engañó al público en ocasiones , pero sus acciones se organizaron en gran medida en torno al principio de hacer que el software que la gente común utilizaba fuera más seguro … por cualquier medio que fuera necesario.
Este era, sin lugar a dudas, un territorio inexplorado, y asumieron un riesgo considerable al tratar de abrir un camino a través de él. Su divulgación por "Back Orifice" de una vulnerabilidad crítica en Windows en 1999 se produjo en un momento en que la implementación de agujeros de seguridad de cualquier manera podría resultar en un grave peligro legal cuando la compañía inevitablemente tomó represalias.
Pero gran parte de la razón por la que los "investigadores de seguridad", los piratas informáticos por una designación más respetable, pueden enviar errores o incluso ser compensados generosamente a través de los programas de recompensas de errores, es porque los piratas informáticos de cdc sopesaron las consecuencias de la inacción y se atrevieron a atacar. Los desarrolladores de hoy y los probadores de penetración (otro eufemismo para los hackers que trabajan de 9 a 5 para una empresa) no han tenido que arriesgar sus finanzas o su libertad cuando navegan por la dimensión ética de la seguridad de la información.
"Estaban dispuestos a debatir la ética de sus decisiones, y vieron que su papel era promover el bien social", dijo Menn. “La industria de la seguridad informática de hoy está demasiado compartimentada y, a menudo, demasiado limpia. Con esto quiero decir que los nuevos participantes pueden ir a una buena universidad y luego a una buena compañía y entrar en el negocio de la seguridad sin pasar por la forja moral que viene de tener que tomar decisiones personales sobre el crimen y las relaciones y el acceso y la divulgación indebidos ".
En opinión de Menn, es hora de que los profesionales de la seguridad de la información miren detenidamente el espejo y se pregunten si lo que están haciendo realmente conduce a los mejores resultados.
"Quiero que aprendan las lecciones más importantes del pasado reciente y decidan a qué hombros apoyarse", dijo Menn.
Anonimo no mas
Incluso para contar la historia de cómo un grupo audaz de adolescentes logró que capitulaban los gustos de Microsoft cuando se enfrentaban a sus propios errores con la sensibilidad que hace Menn era una hazaña en sí misma. Si bien Silicon Valley se ve más amable con las divulgaciones responsables de vulnerabilidades, y ha incorporado gran parte de la popularización de la ECC de Tradecraft, muchos de los miembros originales guardaron ferozmente su anonimato hasta que hablaron con Menn para el libro.
La mayor familiaridad con los piratas informáticos que se muestra como el Sr. Robot ha fomentado puede ser parte de la razón por la cual los veteranos de cDc se han quitado las máscaras, pero Menn cree que tiene más que ver con darse cuenta de la importancia de lo que pueden aportar.
"Creo que se presentaron porque estuvieron de acuerdo en que su historia era valiosa y entendieron que para ser creíble, necesitaba nombres y documentos reales", dijo. “Sí, los piratas informáticos ahora son más populares y el CDC en particular tiene un amplio respeto, y ambos les facilitaron el levantamiento de la mano. Pero la información nueva se simplifica y distorsiona en exceso para una variedad de fines ".
Pero si la absorción de los piratas informáticos en la corriente principal fuera completa, y su persona promedio supiera toda la historia, es probable que Menn no hubiera ido tan lejos. Visto desde su arco completo, al menos hasta ahora, con su trabajo lejos de terminar, probablemente sorprenda la cantidad de terreno cultural que los hackers han cubierto.
Después de preguntarle a Menn qué fue lo que más lo sorprendió de su investigación, no le faltaron revelaciones.
"[Me sorprendió] que un miembro del Congreso de los Estados Unidos fuera un miembro del grupo de piratas informáticos más importante en la historia de Estados Unidos, que él había sido el integrador de género, que el secreto se había mantenido durante tanto tiempo, que acepta discutirlo conmigo, y que él lo declarará a presidente como lo iba a presionar ".