Archive

Posts Tagged ‘entrevista hacking’

Entrevista a David Marugán (@RadioHacking)

abril 13, 2016 Deja un comentario

David Marugán (@RadioHacking) es una persona que resalta por sus amplios conocimientos en radiofrecuencias y trayectoria en dicho campo. Ha sido ponente en eventos de seguridad informática, es uno de los colaboradores del programa de televisión “Mundo Hacker” y ha colaborado en la redacción de los libros “HACKING PRÁCTICO DE REDES WIFI Y RADIOFRECUENCIA” y “HACKING CON INGENIERÍA SOCIAL. TÉCNICAS PARA HACKEAR HUMANOS” ambos publicados por la editorial RA-MA.
Aquellos que le conocéis seguramente habréis podido notar que se trata de una persona sencilla y amable, uno de los mayores expertos en su área que conozco, con una personalidad carismática que explica y comparte sus conocimientos a todo el que quiera aprender. En esta entrada he querido hacer una pequeña entrevista a David para que nos cuente un poco sus motivaciones y su perspectiva sobre el apasionante mundo de las radiofrecuencias.

Adastra:
Tengo entendido que llevas muchos años como radioaficionado, ¿cómo ha surgido tu interés por el mundo de las radiofrecuencias?

David:
Cuando era niño, con unos nueve años, me di cuenta por casualidad que haciendo una pequeña modificación en un radiocasette Sanyo escuchaba “algo” extraño al comienzo del díal de la radio, algo que no tenía nada que ver con la FM comercial, después de un tiempo escuchando me percaté de que era la policía de Madrid. Aquello me fascinó y comencé a observar cómo eran las emisoras y antenas de la policía, taxis, ambulancias, camiones, etc. hasta que averigué que existían unas emisoras de radioaficionado que permitían incluso hablar con otros paises.”Engañé” a mi padre para que me comprara un equipo de segunda mano muy básico con una antena de coche instalada en la barandilla de la terraza. Al poco tiempo hacía contactos internacionales a veces repitiendo frases en inglés que escuchaba a otros “de oído” sin saber muy bien que querían decir. Han pasado 30 años de aquello y me fascina igual que antes, apenas sé nada todavía.

Adastra:
¿Cómo consigues mantener la motivación y el interés por lo que haces? ¿consideras que hay algún “truco” especial, tienes algún consejo para las personas interesadas en convertise en radioaficionados?

David:
Mi consejo es que comiencen desde lo más básico. Conozco personas capaces de decodificar radio digital TETRA y no sabrían sintonizar una simple emisora de Onda Corta con un receptor analógico. Aunque obviamente hay ciertas emisiones digitales muy interesantes (y cada vez más), es importante comenzar comprendiendo lo más básico, saber cómo funcionan las cosas para poder sacar a la radio todo el provecho posible y no estar luego perdido y quizás perder la motivación. Animo a las personas interesadas a que pregunten a radioaficionados con cierta experiencia que estarán encantados de ayudarles con los primeros pasos y por supuesto a buscar información en Internet, algo que muchos no tuvimos y que supone una gran ventaja en esta época. Luego el límite lo pones tú.

Adastra:
En tu experiencia, ¿qué dispositivos y herramientas recomendarías a una persona que quiere adentrarse en el complejo mundo del radiohacking?

David:
Siempre recomendaría comenzar con algún equipo analógico, por ejemplo un receptor no muy avanzado, buscar en internet frecuencias que puedan interesarnos y sobre todo “escuchar” mucho para ir aprendiendo. Una buena forma es usar un receptor como el SDR on-line de la Universidad de Twente que cubre toda la Onda Corta sin gastarnos nada de momento y así ver qué nos interesa en realidad. Por supuesto es imprescindible un SDR low-cost para poder monitorizar frecuencias más altas y comenzar a ver señales en nuestro ordenador de forma muy asequible. Después, si la experiencia nos ha gustado, cosa muy probable, vendrán otro tipo de dispositivos SDR más avanzados, software de análisis de señales, analizadores de espectro, antenas específicas, etc. Hay magníficos tutoriales, libros y foros para comenzar en esto de forma muy sencilla.

Adastra:
Actualmente cuando se habla de “delitos informáticos”, casi siempre se hace alusión a ciberdelincuentes que actúan en Internet. ¿Crees que las radiofrecuencias en los tiempos que corren pueden ser aprovechadas por los delincuentes para realizar actividades ilegales? ¿De qué forma lo harían?

David:
En ocasiones digo que solemos mirar siempre hacia Internet y que quizás se está dejando de lado un terreno enorme y complejo como la radio, que además está presente en todo tipo de comunicaciones críticas de nuestra vida diaria. Por poner un ejemplo que se comprenda, imaginemos una empresa de seguridad que custodia una infraestructura crítica. Es posible que cuide su seguridad informática y siga todas las recomendaciones al respecto, haga auditorias y use medidas de seguridad típicas en sus redes, y que por otro lado los agentes que vigilan estas instalaciones estén usando una red de radio digital sin cifrado, dando información muy importante de sus procedimientos de trabajo y movimientos en el terreno. Esto es más común de lo que parece e incluso ocurre en ciertos cuerpos policiales que además transmiten información muy sensible sobre personas, vehículos, etc. ¿Por qué este desequilibrio cuando hablamos de seguridad? En los tiempos que corren, con las amenazas a las que nos enfrentamos cada día, esto debería corregirse por las autoridades competentes sin más dilación.
Otro caso sería la posible utilización de comunicaciones radio en el ámbito de la delincuencia o el terrorismo. Por ejemplo el DAESH utiliza equipos de alta gama de la marca Hytera y transmiten en DMR cifrado para evitar las técnicas COMINT por parte de sus enemigos, ellos sí se cuidan mucho de la seguridad en sus comunicaciones. Todavía hoy servicios de inteligencia de todo el mundo usan las denominadas Estaciones de Números para mandar comunicados cifrados con el método OTP a sus agentes a miles de kilómetros. Existen métodos de comunicación radio de muy difícil control, que no pasan por ninguna pasarela de terceros, como sí ocurre en Internet o GSM y que con medios asequibles podrían mantener comunicaciones a larga distancia de forma cifrada ¿Si el sistema de las estaciones de números se aplicara para comunicaciones entre células terroristas? ¿cuánto tiempo tardaríamos en detectarlas? ¿seríamos realmente capaces de hacerlo? En el próximo Mundo Hacker Day hablaré, entre otras cosas, sobre la relación de las comunicaciones radio y el mundo del crimen organizado. Aprovecho para llamar la atención sobre el hecho de que no solo hemos de mirar a Internet o a las comunicaciones móviles cuando buscamos canales de comunicación ocultos. A lo mejor debemos mirar un poco más hacia “arriba”.

Adastra:
Me has contado que sueles hacer “excursiones” sobre el espectro radioeléctrico y que en ocasiones te has encontrado con cosas extrañas las cuales suelen ser comentadas entre radioaficionados. En tu experiencia, ¿cuáles han sido las cosas más extrañas/curiosas que te has encontrado?

David:
El espectro radioeléctrico es enorme: emisiones militares, radares OTH, señales no identificadas o de tipo “propietario”, emisiones clandestinas, estaciones de números, jammers que sabotean otras emisiones por motivos de censura, etc, etc. Suelo decir como analogía que el espectro radioeléctrico es un ecosistema con una fauna y flora realmente diversa, y a veces muy extraña. Lo más curioso que me he encontrado es el caso que ahora estoy siguiendo sobre el uso ilegal de un satélite militar norteamericano para mandar fotos “familiares” a medio mundo.
La que quizás más me ha impactado a nivel personal, hace ya más de veinte años, tiene que ver con un conflicto armado brutal y todavía hoy me emociona recordar el contenido de las emisiones. No puedo dar muchos más detalles por respeto a las personas implicadas, pero es muy posible que después de éstas emisiones fallecieran, y además sé que lo hicieron para proteger a otras personas indefensas; incluso pude escuchar de forma lejana el tableteo las ametralladoras y después de los comunicados un largo silencio. Fue realmente estremecedor.

Adastra:
En uno de tus articulos para SecurityArtWork titulado “Creepy images“, has mencionado que las imágenes transmitidas por radio pueden contener mensajes ocultos utilizando técnicas de esteganografía. ¿Has encontrado algo al respecto en esas imágenes?

David:
Yo no he sido capaz de encontrar nada, pero el concepto de estego en radio es muy diferente al informático debido a la forma de transmitir información y aunque podría ocurrir, no creo que estemos en ese caso. En este tema lo que más curiosidad me despierta es saber el motivo que lleva a alguien a mandar estas imágenes ilegalmente por un satélite militar, los detalles técnicos del procedimiento usado para transmitir en realidad están muy claros, localizar la emisión es bastante más complicado, aquí no existen IPs o “huellas digitales” de ningún tipo.

Adastra:
Para ser un radioaficionado, tengo entendido que es necesario obtener una autorización, la cual se consigue presentando un examen y una vez aprobado, te entregan tu carnet. ¿Cómo es dicho examen? ¿es completamente teórico o incluye también una parte practica? ¿Hay puntuaciones?

David:
Hace años eran más complicados, teniendo incluso en algunos casos pruebas prácticas de código Morse y diferentes tipos de licencia según la banda de frecuencias a usar. Hoy se han simplificado en una autorización única que nos abre todo un mundo para experimentar en radio. Se trata de un examen teórico que se compone de dos pruebas: la primera, conocimientos de electricidad y radio, la segunda trata sobre conocimientos normativos. El número de preguntas de cada prueba es de 30, se realizan en el mismo día y para superar cada una de ellas basta con tener 15 correctas. La duración máxima del examen es de 90 minutos. Se trata de una prueba sencilla si se estudia y realizan los test de práctica. Yo recomiendo informarse en la web de la U.R.E, la Unión de Radioaficionados Españoles, donde se puede encontrar todo el material necesario e información sobre los trámites para solicitar el examen y después la autorización.

Adastra:
¿Es obligatorio tener un carnet de radioaficionado para realizar pruebas en tu casa, por ejemplo?

David:
Es obligatorio tener autorización y un indicativo legal único para poder transmitir en bandas que requieren de esta autorización. Para recibir no es necesario tener una licencia, tampoco es necesario para bandas libres o no licenciadas, cumpliendo ciertos requisitos a la hora de transmitir. Pero yo recomiendo, por las posibilidades que nos brinda, realizar el esfuerzo y sacar la autorización a través del examen, merece mucho la pena. No tener esta autorización nos reduce muchísimo nuestro campo de investigación.

Adastra:
Desde el desconocimiento y vaya por delante mi ignorancia sobre estás cuestiones, ¿existe alguna forma de “mezclar” el mundo de redes como Internet con la información que puede existir en el espectro radioeléctrico? ¿es posible implementar una especie de “puente” que permita el intercambio de información?

David:
Claro que sí, de hecho hoy los radioaficionados usamos terminales analógicos y software específico para usar sistemas de voz sobre IP como el denominado Echolink, que permite que a través de un pequeño terminal portátil o walkie de muy bajo coste podamos conversar con personas incluso en el otro lado del mundo, o por ejemplo el sistema digital de radio denominado DMR, un sistema de mayor complejidad y prestaciones superiores, que haciendo una analogía muy facilona, tiene ciertas similitudes con el GSM pero sin pasar por un operador y sin usar cifrado (no porque no se pueda, sino porque está prohibido usar cifrado por parte de radioaficionados, ya que se supone que uno de sus fines es el de la experimentación y divulgación). Fíjate Daniel, tú que eres todo un referente cuando se habla de la Deepweb, que hasta existe un Internet exclusivo para radioaficionados con autorización a nivel mundial. El bloque de direcciones IP 44.0.0.0/8 está reservado desde los 80 para radioaficionados. Invito a los lectores a que busquen información sobre AMPRNET (Amateur Packet Radio Network) y sus posibilidades actuales, seguro que les sorprenderá si no la conocen. Hoy radio e Internet están totalmente relacionados.

Adastra:
En tu opinión ¿Qué relación existe entre el mundo del hacking y la radio?

David:
El hacking y la radio han estado siempre unidos de forma muy estrecha, de hecho se dice que la primeras comunidades de base tecnológica para compartir conocimientos y mejorar los sistemas fue la de los radioaficionados. Recordemos que ya Marconi en 1901 fue víctima de un troleo o ataque en una demo de Morse para demostrarle que su sistema no era tan seguro como presumía. Quizás ahí comenzó la historia del hacking. Después, muchas personas relacionadas con el hacking han sido radioaficionados, por poner un ejemplo citaremos a Clifford Stoll, el autor del famoso libro “El huevo del cuco”, que es radioaficionado y usa el indicativo K7TA. A día de hoy famosos hackers que todos conocemos investigan sobre seguridad en radio, SDR, etc. y cada vez se ve más en las conferencias de seguridad, parece que ahora la radio se ha vuelto a poner de moda gracias a los SDR low-cost… ¡Yo encantado!
Otra importante función de la radio y los radioaficionados es la evasión de sistemas de censura, como por ejemplo en el contexto de la denominada Primavera Árabe, donde muchos radioaficionados se pusieron al servicio de la libertad de expresión y ayudaron a sacar las noticias de ciertos países donde Internet había sido “cortado” en su totalidad por parte del gobierno y sus operadores de telecomunicaciones. Algunos medios de prensa occidentales fueron informados a través de estos radioaficionados de lo que ocurría en las revueltas. Aunque no soy nada conspiranoico, por desgracia muchos gobiernos están cerrando sus emisoras de Onda Corta, y se tiende a que toda comunicación considerada “moderna” pase por un “canuto” muy controlado: Internet, GSM, redes sociales, etc. ¿Existen gobiernos a los que la radio les resulta incómoda? Desde luego que sí, e invierten mucho en sabotear algunas emisiones. Para mi la radio siempre ha sido sinónimo de libertad, experimentación y conocimiento compartido.

Ha sido un placer poder entrevistar a David y conocer un poco más en profundidad el interesante mundo del radio y sus aplicaciones practicas. Os invito a seguirle en su cuenta de twitter @RadioHacking y comprar sus libros, los cuales se encuentran disponibles en la web de RA-MA.
Finalmente, desde aquí expreso mi respeto y agradecimiento a David no solamente por los conocimientos que dispone, sino también por su actitud a la hora de compartir lo que sabe y estar dispuesto a colaborar con las personas que tienen menos conocimientos y experiencia que él.
Espero que os haya gustado la entrevista y que os “pique” un poco la curiosidad por aprender sobre estos temas.

Un saludo y happy hack!
Adastra.

Entrevista en ViceSpain sobre hackers en España

abril 30, 2015 Deja un comentario

Hace algunos días el periodista Gonzalo Toca (https://es.linkedin.com/in/gonzalotoca) se puso en contacto conmigo para redactar un artículo sobre el modo de vida de los hackers en España. Dicho artículo ya se ha publicado y lo podéis ver en el siguiente enlace: http://www.vice.com/es/read/no-tienes-ni-idea-de-lo-duro-que-es-ser-hacker-en-espana-691
Me hizo una entrevista previa que le sirvió para redactar el artículo y dado que en sus preguntas tocaban temas que a mi juicio, representan el estado y la mentalidad generalizada de la gente cuando se habla de hacking, creo que puede resultaros interesante leer sus preguntas y mis respuestas en este post.
Aquí la tienes:

Q- Siempre en general: ¿Tienen los hackers trabajo seguro y acceso a buenos sueldos como dice el mito o han tenido que irse muchos al extranjero como el resto de jóvenes para vivir dignamente?

A- La situación económica y la crisis que afronta España nos afecta a todos, incluyendo a los expertos en seguridad informática. Han sido muchos los jóvenes talentos que han tenido que irse fuera porque no encuentran trabajos en los que les paguen lo que realmente merecen. He vivido de cerca esta situación con un par de amigos que han tenido que irse a trabajar a Reino Unido por falta de oportunidades laborales, muchos se han ido porque la situación les obliga, más no porque hayan querido hacerlo. Personas que profesionalmente tienen un valor increíble y que desafortunadamente las empresas españolas no han sabido valorar. No obstante, aun son muchos los hackers que se quedan en España y que intentan vivir honesta y dignamente, los puedes ver en conferencias de seguridad informática o cuando quedas con ellos en cualquier sitio para tomarte algo.

Q- Siempre en general: ¿Hasta qué punto no hemos confundido a los hackers con nuevos bohemios o con un estilo de vida fabricado por Hollywood marcado por horarios imposibles, dietas imposibles, relaciones interpersonales imposibles y trabajos fabulosamente creativos y emocionantes?

En primer lugar, un “hacker” no es únicamente una persona que tiene conocimientos sobre informática, se refiere a cualquier persona que le apasione su profesión/arte y que además tiene lo que se conoce como “pensamiento lateral”. Este termino se refiere a la creatividad, la inventiva, la capacidad de romper paradigmas y hacer que las cosas funcionen de un modo distinto al establecido, a crear cosas nuevas desde cero o partiendo de las existentes. Dicho esto, puedes reconocer auténticos hackers en cualquier rama del conocimiento, en las ciencias humanas, el arte, la literatura, la ingeniería, etc. Han existido grandes hackers incluso antes del desarrollo del primer ordenador.
Los hackers se caracterizan por ser personas curiosas, investigadores innatos que disfrutan aprendiendo y desarrollando sus habilidades. Esto necesariamente implica mucho tiempo, esfuerzo, sacrificio y dedicación constante y curiosamente, es algo que “olvidan” mencionar algunos medios de comunicación/entretenimiento cuando se refieren  a ellos de forma irresponsable y atrevida dando la imagen de que es lo que “está de moda” y que cualquiera puede conseguir fácilmente sin mayor esfuerzo, que basta con parecerlo o auto-proclamarse uno. No se refiere a lo que lleves puesto, a la imagen que das al mundo, no es cómo te ves por fuera, sino lo que llevas dentro, lo que oportas a la comunidad con tu trabajo y dedicación.

Q- En el momento en el que lo vuestro se ha convertido en un estilo de vida con glamour imagino que habréis atraído a mucha gente que se autodenomina hacker y no pasa de hábil con los ordenadores. ¿Es así?

El glamour en el estilo de vida de un hacker es algo que se queda únicamente en la “pantalla grande”, en donde los “hackers” tienen veinte ferraris y treinta lamborghinis, veintemil tías detras de ellos, esquiban balas, saltan desde coches en marcha sin despeinarse y hacen proezas imposibles para el resto de mortales. Las mentes menos obtusas y aquellas personas que tienen criterio saben perfectamente que todo aquello es ficción, simplemente entretenimiento. No obstante, otras personas carentes de sentido común creen que ser hacker “es lo que se lleva”, algo que te hace ver “guay”, que les proporciona un subidón de autoestima y a lo que puede aspirar cualquiera con un par de días lanzando herramientas automátizadas. Y efectivamente, son personas que tardan dos días en ser completamente ignoradas por la comunidad. El termino “meritocracia” es algo que entendemos todos los que nos dedicamos a esto.

Q- En mi sector, hay más periodistas profesionales trabajando en comunicación para las empresas que en los medios: ¿Dirías que hay más hackers profesionales currando para empresas que hackers que vivan de acciones ilegales?

Como comentaba anteriormente, muchos buscamos vivir tranquila y dignamente y para ello lo más común es, o bien trabajar por cuenta ajena para alguna empresa o trabajar por cuenta propia como profesional freelance o creando tu propia empresa. En general, la mayoría de hackers que conozco optan por la primera opción principalmente por comodidad y seguridad, aunque los hay también que optan por la segunda aun con los riesgos que implica. Muchos de los hackers que he tenido el placer de conocer personalmente, tienen hijos, familia y lo único que buscan es poder vivir sin el temor de que vayan a por ellos. Personalmente creo que el principal objetivo de cualquier persona es vivir en paz y a mi juicio, es algo que resulta incompatible con cualquier actividad ilegal, por eso me atrevería a afirmar que la gran mayoría tienen su trabajo en alguna empresa, cumplen con su horario y en su tiempo libre se dedican a explorar y estudiar. Al menos en mi caso, es así.

Q- ¿Cuáles crees que son las cosas más exageradas que os han atribuido a los hackers en España? Echo un vistazo a la cobertura de Navaja Negra y me encuentro con que el Estado necesita pediros ayuda, con que todos sois autodidactas (y muchos sabíais programar a los diez años), con que no necesitáis ir a clase porque os basta con estudiar apuntes fusilados y cartearos con expertos mundiales (hay que asumir que esos expertos están deseando responder todas las dudas de estudiantes que ni son ni serán probablemente sus alumnos).

Desde mi punto de vista, otra de las ideas más curiosas que se han instaurado últimamente es que los hackers son genios con síndrome de asperger, sin vida social, sin emociones, máquinas que viven única y exclusivamente para machacar teclas todo el día. Creo que así es como nos comienzan a ver las empresas privadas y organismos públicos, pero no están dispuestos a pagar a los profesionales lo que realmente valen. ¿Requieren ayuda? claro que sí, pero la quieren a un coste muy bajo o en el peor de los casos gratis, y las cosas no son así. Del mismo modo que cualquier profesional especializado de cualquier sector, valoramos nuestro tiempo.

Q- ¿A qué crees que se debe esta especie de leyenda? ¿A Hollywood? ¿A la necesidad de creer en gurús, en conspiraciones mundiales por parte de la gente? ¿A la necesidad de sentirse importantes por parte de los propios hackers y de los que se autodenominan así sin serlo?

Los temas relacionados con el hacking aun son bastante novedosos y existe mucha confusión al respecto debido a que los medios de comunicación tradicionales no han sabido transmitir adecuadamente la diferencia entre un hacker y ciberdelincuente. Dicha confusión genera dos grupos de personas: Aquellos que quieren sentirse seguros cuando acceden a cualquier servicio de banca online o simplemente, cuando visitan su muro de facebook. Son personas que quieren saber cuáles son las mejores practicas a la hora de proteger su información, incluso en ocasiones, les “contagiamos” esa curiosidad y ganas por aprender como funcionan las cosas, es algo que nos favorece a todos. Pero por otro lado, tenemos a personas que quieren ser “hackers” y robar cuentas de correo electrónico, facebook, conversaciones de whatsapp, etc. Evidentemente el primer grupo son mucho más cautos y el segundo, bueno… suelen ser personas que nos ven como mercenarios a sueldo.
Suelo recibir correos de personas de ambos grupos y en el primero de los casos siempre respondo de forma amable y si conozco la respuesta a la duda que se me plantea trato de explicarlo de la forma más clara que puedo y si no lo se, intento sacar tiempo e investigo. Sobre el segundo grupo, simplemente los ignoro, creo que está de más explicarle a alguien que robar o cometer cualquier tipo de delito es algo que no deberías pedir tan alegremente a una persona en Internet que ni siquiera conoces. Es algo bastante obvio, ¿no?. En esos casos prefiero no perder el tiempo y paso de contestar, guardo todos esos mensajes en una carpeta separada de mi bandeja principal y simplemente me limito a ver como el número de mensajes crece diariamente. No me molesta que me escriban con solicitudes para “hackear algo”, incluso me resulta divertido ver lo que la gente pide y como están ciertas cabezas. Sin duda, algunas de las más divertidas, tienen que ver con temas relacionados con la deep web y actividades ilegales. La gente cree que redes como TOR son “el santo grial” de cualquier delincuente, pero lo ven como algo muy complicado y necesitan a un “guru” que los lleve de la mano y si hace falta, que asuman las consecuencias de sus actos por ellos.

 

Saludos y Happy Hack!
Adastra.

A %d blogueros les gusta esto: