Dirigida por
Phil Alden RobinsonAño
1992Etiquetas
1990 | Biometría | Ciberseguridad | CRAY | CTIM | GAUSS | JOBS | Privacidad | Secrafonía | Teléfono | WOZNIAKRelación con las Telecomunicaciones
Situación: La seguridad de la información con sus luces y sus sombras, el hacker que es contratado para encontrar los agujeros, el cracker que se enriquece con los huecos, el código de encriptación RSA y su posible ruptura y, en el fondo, el usuario como el eslabón débil de toda la cadena.
Situación: Guiño al phreaking.
Personaje: CRAY, Seymour R.
Personaje: GAUSS, Johann Friedrich
Personaje: JOBS, Steven Paul
Personaje: WOZNIAK, Steve
Sneakers, los fisgones: no es un descodificador, es EL descodificador.
Martin Bishop es un hacker experto que ha reunido un equipo de gente brillante en diversas áreas de la tecnología y la ingeniería social. El equipo se dedica a poner a prueba los distintos sistemas de seguridad de bancos y empresas. Sin embargo, por un secreto de su pasado, Bishop es obligado a aceptar un trabajo para unos agentes de la NSA: la agencia quiere hacerse con una caja negra en la que está trabajando el Dr. Gunter Janek, un matemático experto en encriptación. Todo se complica cuando después de haberla conseguido y entregado, el Dr Janek es encontrado muerto y los agentes resultan no pertenecer a la NSA. Como la noche antes de la entrega Bishop y su equipo descubrieron que la caja negra era en sí un descodificador universal del código de encriptación RSA, se plantean hacerse de nuevo con ella.La promoción de la película fue adelantada a su tiempo pues aparte de ser una de las primeras películas en ser comercializadas en internet fue también la primera en utilizar un dosier digital. Los periodistas asistentes al pase de prensa recibieron un disquete que contenía la sinopsis, notas de producción, fotografías y biografías del reparto. Además, el director Phil Alden Robinson respondió online a las preguntas que le hacían los usuarios de la red CompuServe.
La película toca todos los palos de la seguridad de la información: hacker, cracker, encriptación, desencriptación, ingeniería socal e incluso 'basureo' (hurgar en la basura de alguien para conseguir información). Precisamente, la sesión de 'basureo' aporta un divertido, pero significativo, detalle cuando "Madre" muestra con gran regocijo una caja de cereales Cap'n Crunch, en homenaje sin duda a los phreakers telefónicos John 'Captain Crunch' Draper y Joe 'Joybubbles' Engressia. Ambos descubrieron que con una pequeña modificación, el silbato de regalo que iba en las cajas de cereales Cap'n Crunch imitaba el tono de 2600Hz del sistema telefónico lo que permitía utilizar la línea en "modo operador", fundamento de las antiguas 'blueboxes' (cajas azules). Joybubbles es el hacker ciego en que se inspira el papel de "Sónar", que en la película es quien descubre la utilidad de la 'caja negra'.
Redford y Adleman.
El guion de Sneakers se empezó a esbozar en 1981, cuando los guionistas Lawrence Lasker y Walter F. Parkes se estaban documentando para el guion de 'Juegos de guerra' (1983, John Badham). En sus 10 años de elaboración, el guion sufrió varias reescrituras hasta verse completado. El proyecto realmente no arrancó hasta que Robert Redford entró en él. Lasker lo resumió perfectamente: "una vez tuvimos a Redford, no fue difícil; un montón de gente quería trabajar con él". Fue el caso de Phil Alden Robinson, que inicialmente entró en calidad de productor pero finalmente no solo se encargó de la dirección sino que también aportó ideas al guion, unas aportaciones que le fueron reconocidas en los créditos.
El profesor Leonard Adleman fue solicitado como consultor matemático. Lasker ya había contactado con él en los 80 cuando comenzó a interesarse en la criptografía como eje motriz de una película. Lasker, que también actuaba como productor del film, le pidió a Adleman ayuda en la escena de la conferencia de Janek. Lasker le ofreció dinero, pero Adleman prefirió como pago que su mujer conociese a Robert Redford. Adleman trabajó en el discurso de Janek y dedicó una considerable cantidad de tiempo a preparar las diapositivas que usa el personaje en la escena. Adleman las generó usando un programa de gráficos en su Mac (lo que le llevó tiempo pues era tecnología de comienzos de los 90), pero al final Lasker las descartó y prefirió usar unas transparencias hechas a mano al considerar que eso es lo que haría un verdadero matemático. Adleman estuvo de acuerdo con el planteamiento de Lasker sobre las transparencias pero también opinó que se lo podría haber dicho antes y así no hubiera perdido el tiempo. Finalmente, Adleman y su mujer estuvieron presentes en el rodaje de la escena de la conferencia y charlaron con Redford durante 5 minutos. En cuanto a la exposición, el personaje del Dr. Janek se refiere a la criba de cuerpos cuadráticos, un método de factorización de complejidad subexponencial. Hace una alusión al teorema de Kronecker-Weber: toda extensión abeliana de los racionales es ciclotómica. Y se da a entender que Janek sabe construir un descodificador universal, basado en la ley de reciprocidad de Artin. Además de estos apuntes técnicos, Adleman se permitió una licencia como guiño a Gauss: "Me sentí muy complacido con mi frase 'un avance de proporciones gaussianas', de este modo el Príncipe de las Matemáticas tenía presencia en una película importante". Nota: No todos los conceptos matemáticos se dicen igual en todos los idiomas. Por ejemplo, el concepto de 'cuerpo de números' en inglés es 'field of numbers'; así en la versión doblada, el matemático habla de 'criba de campos numéricos' cuando debiera decir 'criba de cuerpos numéricos'.
El cifrado RSA.
Los criptosistemas de clave pública (también llamados criptosistemas asimétricos) se caracterizan por utilizar claves distintas para el cifrado y descifrado de la información. Su principal ventaja es que facilitan el proceso de distribución e intercambio de claves entre los participantes de la comunicación segura, que es un problema importante de los criptosistemas simétricos o de clave privada.
Los algoritmos asimétricos emplean generalmente longitudes de clave mucho mayores que los simétricos, que usan una única clave secreta. Por ejemplo, mientras que para algoritmos simétricos se considera segura una clave de 128 bits, para la mayoría de algoritmos asimétricos se recomiendan claves de al menos 2048 bits de longitud. Además, la complejidad de cálculo que comportan los algoritmos de los criptosistemas asimétricos los hace considerablemente más lentos que los algoritmos de cifrado simétricos. Por eso en la práctica los métodos asimétricos se emplean principalmente para codificar la clave de sesión (simétrica) de cada comunicación o transacción particular.
La criptografía basada en criptosistemas de clave pública es relativamente reciente, pues los primeros algoritmos asimétricos aparecen después de 1975. El criptosistema de esta clase más importante y extendido hoy en día es el RSA, que utiliza la exponenciación modular para cifrar y descifrar y basa su seguridad en la complejidad del problema de la factorización de enteros grandes. Una peculiaridad de este algoritmo es que sus dos claves sirven indistintamente tanto para cifrar como para autenticar.
RSA debe su nombre a sus tres inventores, Ronald Rivest, Adi Shamir y Leonard Adleman, que publicaron por primera vez el método RSA en 1977. Ha estado bajo patente de los Laboratorios RSA hasta el 20 de septiembre de 2000, por lo que su uso comercial ha estado restringido hasta esa fecha.
El criptosistema RSA permite no sólo garantizar la confidencialidad de la comunicación entre dos partes, cifrando en origen el mensaje que se va a transmitir por un canal inseguro y descifrándolo en recepción, sino que también proporciona otros servicios o funciones de seguridad de la información, como son la autenticación de origen , la integridad o el no repudio (mediante la firma digital).
Ingeniería social.
La ingeniería social es la práctica de obtener información, acceso o privilegios en sistemas de información a través de usuarios legítimos. El principio fundamental de la ingeniería social es que el eslabón más débil de cualquier sistema es el usuario.
La base de la ingeniería social es el pretexto, la creación de un escenario inventado para llevar a la víctima a desvelar información personal o a actuar de una forma que no sería la natural en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación y hacerle creer que el pretexto es legítimo. Las técnicas son variadas.
El phising consiste en engañar al usuario haciéndole ver que un administrador del sistema está solicitando una contraseña o dato para un propósito legítimo. Así, los usuarios de servicios de Internet reciben mensajes solicitando la contraseña o información de la tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación en apariencia benigna a los ojos de la víctima. Es uno de los ataque más simples y seguros.
El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que se sonsaca información personal sin levantar sospechas en la víctima.
En el caso del baiting se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso que se deja en un lugar en el cual sea fácil de encontrar. Cuando la víctima encuentra el dispositivo y lo introduce en su ordenador, el software se instala y permite al atacante obtener los datos del usuario.
Phreaking y Bluebox.
Por phreaking entendemos la actividad de quienes estudian y experimentan con sistemas de telecomunicaciones, generalmente dispositivos conectados a red de telefonía pública. Así, tanto el término phreaking (la actividad), como phreak (el hecho) o phreaker (la persona) provienen de sustituir la 'f' de freak (entusiasta, fanático), o freaking, por la 'ph' de 'phone' (teléfono). Los phreaks, o phreakers, fueron capaces de realizar un proceso de ingeniería inversa sobre los pulsos y los tonos de marcado de las llamadas telefónicas para saltarse las restricciones de acceso, o eludir los pulsos de pago, lo que les permitía acceder a los recursos y servicios de forma gratuita.
El phreaking se inicia a finales de la década de 1950 en Estados Unidos. La edad de oro del fenómeno se sitúa en los 60 y a principio de los 70.
Al principio, los phreaks se dedicaban a marcar distintos números por toda la red telefónica para entender cómo funcionaba: escuchaban los tonos para intentar saber qué hacía cada número, leían artículos técnicos de compañías telefónicas, se colaban en instalaciones de las operadoras y conectaban sus teléfonos a la red de la empresa, etc. Su mayor logro fue la construcción de dispositivos electrónicos conocidos como blueboxes, blackboxes y redboxes. Con ellos podían explorar la red telefónica haciendo llamadas, manteniendo comunicaciones con otros entusiastas como ellos. Y lo documentaban en artículos técnicos propios.
El switch-hooking se considera uno de los primeros logros del phreaking. Es de aplicación en los teléfonos donde el marcador, disco o teclado, está bloqueado mediante una llave u otro mecanismo de cierre en un intento de evitar llamadas no autorizadas. En los teléfonos con marcador de disco, los phreakers se saltaban el bloqueo mecánico generando los pulsos directamente desde el gancho del auricular. Para los teléfonos de teclado, contaban con una caja de marcaje de tonos.
1957 se considera la fecha en la que se descubrió el uso del tono de 2600Hz en las líneas de AT&T con switches automáticos. Estos switches contaban con unos tonos de servicio interno de la compañía y, en concreto, el tono de 2600Hz inducía al switch a pensar que la llamada había terminado y éste dejaba abierta una línea de operadora que se podía explotar para hacer llamadas a larga distancia de forma totalmente gratuita.
Durante los años 60 empezaron a usarse tonos multifrecuencia para comunicaciones internas de las operadoras, lo que en muchos casos invalidaba el método de los 2600Hz. Pero esto no fue óbice o valladar.
En 1955, la Revista Técnica de Bell System publicó un artículo titulado 'In Band Signal Frequency Signalling', en el que se describía el proceso usado para el enrutamiento de llamadas telefónicas sobre líneas que usaban el sistema de ese momento. El artículo no indicaba las frecuencias de los tonos. Pero en 1964, la misma revista publicó otro artículo indicando las frecuencias usadas por los dígitos que eran utilizados por los códigos de enrutamiento de la época. Con estos dos artículos, el sistema telefónico estaba a disposición de cualquiera que tuviera cierto conocimiento de electrónica. Además, el artículo de 1964 llegó a algunas bibliotecas universitarias, con lo que los estudiantes de ingeniería empezaron a explotar este conocimiento de forma inmediata. Este error de Bell Systems dio origen a grupos de phreaks por todo Estados Unidos.
Y las blueboxes vieron la luz. En esencia, la bluebox es un dispositivo que genera los tonos internos de una operadora telefónica, con lo que se pueden dejar las líneas abiertas para realizar llamadas a larga distancia de forma gratuita. Dos de los blueboxers más famosos son Steve Jobs y Steve Wozniak, que antes de fundar Apple se dedicaban a 'comercializar' estas cajitas.
En España el phreaking aparece en la década de los 80, su época dorada empieza en 1995 -con la llegada de los primeros proveedores de Internet, que multiplicó el número de usuarios de las redes, y al no existir una tarifa plana, el gasto telefónico de los primeros internautas era considerable y se convirtió en necesidad encontrar métodos de llamar sin pagar y, a ser posible, de forma anónima-, y se consolida en 1997 con la Compañía Phreaker Nacional de España (CPNE) y The Den of the Demons (TDD).
Entre los logros de CPNE está la creación de la bluebox nacional, también conocida como "Mahou Box", cuyos planos se ofrecían líbremente en Internet y que la propia web de CPNE definía así: "la Mahou Box es una caja diseñada en espain y para usarse aquí, esta caja no evita que llegue la factura marcando lo que hemos llamado; lo que sí evita es que nosotros paguemos".
La especialidad de TDD era hacer llamadas con cargo a la compañía Telefónica desde cabinas. Su descubrimiento más famoso fue el 'chaping' que consistía en usar la chapa de una lata de refrescos para engañar a una cabina y poder llamar gratis. Más adelante TDD automatizó este truco con la llamada 'chaping card', una tarjeta que conseguía el mismo efecto. También creó el Emulador de Tarjetas de Telefónica, una tarjeta de teléfonos recargable que sería muy popular pues generaba el código de serie de las teletarjetas de Cabitel y hacía creer a la cabina que estaba ante una tarjeta auténtica.
A partir del año 2000 el 'phreaking' español bajó de intensidad con la llegada de tarifas planas para acceder a Internet, la bajada del precio de las llamadas interprovinciales e internacionales y el fin del monopolio de Telefónica. También tuvieron que ver con el fin del 'phreaking' el paso de la red Telefónica de analógica a digital y la mayor persecución policial que culminó con la Operación Millenium, donde el Grupo de Delitos Telemáticos de la Guardia Civil detuvo a 55 personas en 16 provincias por entrar gratis a Internet usando fraudulentamente módems de empresas.
Vídeos
Los títulos de crédito ya nos han puesto en antecedentes de que el orden de las letras marca la diferencia entre entender o no entender lo que leemos; es el preludio de 'setec astronomy'. Tras el prolegómeno de Cosmo y Bishop en 1969, estamos en el tiempo actual (1991). El equipo de Bishop entra con alevosía, premeditación y nocturnidad en un banco y roba informáticamente $100.000, que Bishop hace efectivos al día siguiente. Es la manera de enterarnos de que en realidad él y su equipo se dedican a probar la solidez del sistema de seguridad del banco que los contrata.
Clip: Professional bank robber
La proposición de los agentes de la NSA es un ejemplo perfecto, por parte del director, de cómo organizar ingeniosamente una escena de una sola toma a partir de los huecos que dejan los actores en sus movimientos para, a la vez, resaltar lo que tras ella, personajes y diálogos, subyace.
Y cuando queremos darnos cuenta, tan natural y familiar como un juego de mesa entre compañeros de fatigas, compartimos con los protagonistas la emoción de estar ante uno de los hitos más grandes en comunicaciones: la ruptura del código RSA. Es esa irresistible escena en la que descubren que la caja negra es en realidad "el descodificador" que les permite entrar en la reserva federal o en el control de tráfico aéreo. El problema matemático de factorización de números pseudoprimos, que es la base del funcionamiento de la caja negra, sigue siendo uno de los grandes retos del criptoanálisis y de resolverse, como plantea la película, realmente habría un antes y un después.
Bishop y Cosmo son dos hackers de la vieja escuela, que representan el lado bueno (hacker de sombrero blanco) y el lado oscuro (hacker de sombrero negro), la diferencia entre hacker (Bishop, calcetines blancos) y cracker (Cosmo, calcetines negros), entre usar la tecnología y la información para hacer el bien o para hacer el mal. Premisa: puede que haya micrófonos en el despacho. Consecuencia: mejor pasar a una sala insonorizada. Resultado: reunión de alto nivel. Conclusión: puede que Bishop no se haya apercibido, pues no dice nada al respecto aunque tiene una mirada muy especial cuando Cosmo dice que lo hace para ganarse la vida, pero a nosotros no se nos escapa el detalle de que están sentados sobre un Cray Y-MP, el superordenador supercaro del momento.
Clip: La percepción de la realidad, desde un Cray Y-MP
Cosmo: "Cuando estuve en la carcel aprendí que todo en este mundo, incluido el dinero, opera sobre la base no de la realidad...". Bishop:"...sino de la percepción de la realidad". Verbigracia, la escena de la llamada a la NSA desviada por 9 caminos a partir de un modem acústico en el que se coloca el auricular tras haber marcado la llamada desde el teclado del teléfono y un manos libres aparentemente configurado para la voz de Bishop pues desde el otro extremo solo responden a lo que Bishop dice. Operando en base a la percepción de la realidad.
Otro de los momentos instructivos sobre lo que la percepción de la realidad nos puede inducir a error o desvirtuarnos la información correcta. Intentando reconstruir el recorrido de Bishop en el maletero del coche que lo llevó hasta la guarida de Cosmo, llegan a la encrucijada de cómo saber, aquella noche, qué fiesta hubo por aquellos lares.
La culminación del 'basureo' y de la ingeniería social: 'Mi voz es mi pasaporte'.