Por más que algunos quieran mostrárnosla con el eufemismo de una nube suave, agradable y esponjosa, internet es un bosque peligroso, una compleja maraña de dispositivos interconectados entre sí utilizando diversos tipos de enlaces. Desde minúsculas cámaras IP hasta imponentes servidores que llevan años funcionando sin apagarse. La ilusión de homogeneidad la da un conjunto de protocolos denominados TCP/IP. La historia es más o menos conocida fuera de los ámbitos especializados: algoritmos y estructuras de datos pensados para poder enviar mensajes de un nodo a otro de esta red, tolerando fallas tales como que un nodo desaparezca. ¿Estoy siendo muy abstracto? Si hablo de nodos conectados formando un grafo corro el riesgo de que el lector imagine círculos unidos por líneas dibujados en fibrón negro sobre un pizarrón blanco. Déjenme volver a intentarlo: TCP/IP fue diseñado teniendo en cuenta que una bomba puede caer en un edificio y hacer volar los servidores (nodos) que ahí había. Mucho mejor. Cada dispositivo conectado a internet tiene una dirección IP (al momento de escribir este artículo, la de mi notebook es 152.170.168.82) y eso es lo que utilizan para conectarse entre sí. Cuando queremos acceder a una página web (por ejemplo) nuestro navegador necesita saber la dirección IP del dominio (revistapaco.com) donde esta se encuentra alojada. ¿Cómo lo hace? En un principio, cuando internet estaba formada por unas pocas decenas de computadoras, cada una tenía un archivo de texto llamado hosts con nombres de dominio asociados a direcciones IP. Estos archivos se iban compartiendo y actualizando, pero pronto se evidenció que la solución no escalaba y entonces surgió la primera versión de lo que se conoce como DNS o sistema de nombres de dominio: una base de datos jerárquica y descentralizada con la información de a qué dirección IP está asociado cada uno de los dominios existentes. Los programas en nuestra computadora (como el navegador) no consultan directamente a estas bases de datos, sino que se comunican con ellas a través de servidores de nombres (también llamados servidores DNS). Por lo general, los usuarios domésticos utilizan los servidores de nombre de su proveedor de internet, pero uno puede configurar su sistema operativo para usar otros (los DNSs de Google, OpenDNS o uno propio instalado y configurado en nuestra red interna).

160227_ft_cyberwar_03-jpg-crop-promo-xlarge2

Los usuarios no pueden acceder a los sitios porque alguna licuadora inteligente ocupa su lugar. ¿Esto es lo que pasó con Google? No hubo comunicado oficial, pero fue lo que pasó el viernes con Amazon, Twitter, Netflix y Spotify.

Antes de adentrarme en el tópico de los ataques, me gustaría hacer una salvedad respecto de la terminología. Esta mañana recibí un mensaje que decía “hackearon a Google” y no pude evitar hacer la corrección. Según The New Hacker’s Dictionary, un hacker es alguien que disfruta de conocer en detalle distintos sistemas programables y llevar al extremo sus capacidades. Nada dice sobre acceder a la computadora de otra persona sin permiso o de dejar fuera de funcionamiento un sitio web. El término fue acuñado probablemente en los 60, en el laboratorio de Inteligencia Artificial del MIT y desde entonces fue usado como una insignia con connotación positiva. No fue hasta los 90 cuando la prensa empezó a darle el matiz negativo que muchos le dan hoy. El término correcto para quienes realizan intrusiones ilegales con el objetivo de, por ejemplo, robar información es cracker. Mientras que el hacker construye, el cracker destruye. Los hackers son los que hacen que internet funcione, no los que la rompen. Con el auge de la internet de las cosas (o IoT, Internet of Things: pequeños dispositivos conectados a la red para llevar a cabo funciones muy específicas como cámaras de vigilancia, sensores de temperatura o sistemas de riego automático), millones de dispositivos inteligentes se han sumado a las computadoras y servidores que componen la red de redes y esto está poniendo en jaque aquel sistema diseñado para resistir un bombardeo aéreo.

nicobzh_-_richard_stallman_by-sa_10

“Alguien estuvo probando los sistemas de defensa de las compañías que mantienen las partes críticas de internet y no parece haber sido un activista, parece más un acto de espionaje o inteligencia”.

El problema es que, por la velocidad impuesta por el mercado, sus diseñadores se preocupan más por que el usuario pueda regar sus plantas desde el celular utilizando una interfaz vistosa mientras está de vacaciones que un usuario no autorizado tomando control del dispositivo. Sucede entonces que la mayoría de los dispositivos conectados hoy a internet poseen una escasa o nula protección contra atacantes. Existen programas que un cracker (o un equipo de crackers) puede utilizar con el fin de escanear la red en busca de dispositivos que presenten cierta vulnerabilidad explotable. ¿Para qué lo hacen? ¿Para inundarnos el patio? Los crackers ya no se dedican a realizar ataques puntuales sino que, por lo general, reúnen millares de estos dispositivos en lo que se llama una botnet para, a la hora señalada, realizar muchas y simultáneas peticiones. ¿A quién? Al sitio que se quiere dar de baja. Este ataque se denomina denegación de servicio distribuido (o DDoS por sus siglas en inglés, Distributed Denial of Service), ya que de tantas peticiones falsas que recibe un sistema, este se satura y no puede atender las legítimas. Si en lugar de atacar a un servidor cualquiera se ataca a un servidor de nombres, el resultado puede ser algo similar a lo experimentado ayer por los usuarios de Google en Argentina: los usuarios realmente interesados no pueden acceder porque alguna licuadora inteligente está ocupando su lugar. ¿Fue esto lo que pasó? En realidad no se puede saber porque no ha habido un comunicado oficial, pero podemos especular que sí. ¿Por qué? Porque fue efectivamente lo que ocurrió el viernes pasado cuando Amazon, Twitter, Netflix y Spotify, entre otros, dejaron de funcionar para sus usuarios en los Estados Unidos. Millones de dispositivos dirigieron tráfico de internet hacia los servidores de uno de los más grandes proveedores de servicios de DNS. Según Bruce Schneier, experto en seguridad, “alguien estuvo probando los sistemas de defensa de las compañías que mantienen las partes críticas de internet y no parece haber sido un activista, un criminal o un investigador, parece más un acto de espionaje o inteligencia”. También señaló que “el tamaño de los ataques indicaría que los actores son Estados, cibercomandos militares tratando de calibrar sus armas para una eventual ciberguerra. Tal vez China o Rusia”.

Workplace violence concept

Esta mañana recibí un mensaje que decía “hackearon a Google” y no pude evitar hacer la corrección.

Con motivo del apagón norteamericano, me entrevisté con un programador chino para saber qué opinaba sobre las sospechas de Schneier. La siguiente es una traducción libre de una parte de la conversación: “Oí que se debió a una cámara web, un router o algo fabricado por una empresa china que tenía el mismo nombre de usuario y la misma contraseña por defecto en todas las unidades. Alguien (no estoy seguro quién o dónde) se enteró y pudo tener millones de equipos bajo su control para realizar un ataque. Sin embargo, no creo que este provenga de China; no veo ningún beneficio en ello y, francamente, tenemos formas mucho más fáciles de atacar si quisiéramos. Hace tiempo, cuando la relación entre Estados Unidos y China era mala, alguien podía postear en ciertos foros un mensaje como “¡Vamos a hacer caer al fbi.gov hoy a las 6:00 pm!” y a las 6:00 pm millones de adolescentes entraban a fbi.gov y apretaban F5 (recargar) muchas veces y el sitio sufría un DDoS. Simplemente, somos muchos”. Repasados ya los datos técnicos, la descripción de los hechos y una especulación inocente, puedo tomarme la última sección para especulaciones de más alto vuelo. Especulaciones, digamos, “conspiracionistas”. Pertenezco a un grupo postcyberpunk entre cuyos variopintos personajes puedo mencionar a un camionero que fabrica sus propias impresoras 3D, un linuxero devenido en doctor en filosofía, un radioaficionado que lo que no lo sabe lo inventa y un ex seminarista que vuela en parapente. Cuando anoche hablamos del tema, la pregunta no se centró en quién habría realizado el ataque (¿los chinos?, ¿los rusos?, ¿Trump?), sino que se llegó a la conclusión más orwelliana: todo debió de haber sido una salida de servicio programada que el mismo Google ejecutó con el objetivo de actualizar sus sistemas de vigilancia para, como un lobo disfrazado de abuelita, “controlarnos mejor”//////PACO