Arnau Gàmez i Montolio: «Defensem que el ʻhackingʼ no és, en absolut, una activitat delictiva en si mateixa»

Arnau Gàmez i Montolio, president de Hacking Lliure.
Arnau Gàmez i Montolio, president de Hacking Lliure.
Entrevistes
(22/06/2017)

Arnau Gàmez i Montolio és estudiant de tercer curs del doble grau de Matemàtiques i Informàtica que sʼimparteix a la UB, i president de lʼassociació dʼestudiants Hacking Lliure, creada recentment. Lʼassociació es va gestar a finals del 2016 i es va constituir a principis del 2017, centrada en la promoció del hacking ètic i la seguretat informàtica. Actualment, està constituïda formalment a la UB, amb seu a lʼHotel dʼAssociacions, i ultima els tràmits per inscriureʼs al registre dʼassociacions de Catalunya.

 

Arnau Gàmez i Montolio, president de Hacking Lliure.
Arnau Gàmez i Montolio, president de Hacking Lliure.
Entrevistes
22/06/2017

Arnau Gàmez i Montolio és estudiant de tercer curs del doble grau de Matemàtiques i Informàtica que sʼimparteix a la UB, i president de lʼassociació dʼestudiants Hacking Lliure, creada recentment. Lʼassociació es va gestar a finals del 2016 i es va constituir a principis del 2017, centrada en la promoció del hacking ètic i la seguretat informàtica. Actualment, està constituïda formalment a la UB, amb seu a lʼHotel dʼAssociacions, i ultima els tràmits per inscriureʼs al registre dʼassociacions de Catalunya.

 

Per què vau decidir crear lʼAssociació Hacking Lliure?

Els quatre socis fundadors som estudiants de tercer curs del doble grau de Matemàtiques i Enginyeria Informàtica que a títol personal sempre havíem tingut inquietuds pel tema de la seguretat informàtica i que, en general, trobàvem que hi ha un buit en aquest aspecte en lʼàmbit acadèmic a Catalunya.

Pensem que hi ha poca formació universitària en aquest camp. De fet, actualment, en la carrera no hi ha cap assignatura de seguretat informàtica, tot i que ens consta que sʼestà treballant per a revertir aquesta situació. I no és una excepció: més aviat és la tònica general. Dʼaltra banda, només hi ha dos o tres màsters públics arreu de lʼEstat espanyol relacionats amb la seguretat informàtica.

Per tot això, vam creure necessari crear lʼassociació, amb la intenció de proporcionar, a nosaltres mateixos i a la comunitat, un espai adient per a debatre i posar sobre la taula de manera clara la necessitat de conscienciació i de formació en tots els aspectes: divulgatiu, acadèmic i professional.

 

Quins són els objectius principals de lʼassociació?

Els nostres objectius primordials són, dʼuna banda, conscienciar sobre la seguretat informàtica i el paper que té en la societat, tot oferint formació (interna i externa) en els diferents àmbits amb què està relacionada.

A més a més, volem estimular lʼús i la creació de programari lliure i de codi obert. És importantíssim que comencem a preocupar-nos per quin tipus de programari consumim. Per a posar un símil, difícilment ens menjaríem un plat que no puguem veure ni olorar, ni saber com està fet o quins ingredients porta. Tanmateix, cada dia consumim programari que no sabem com està fet, què fa exactament i a quins interessos respon i, al mateix temps, es penalitza les persones que sʼhi interessen i intenten entendre com funciona —habitualment, parlem de mètodes dʼenginyeria inversa— per a mirar de descobrir «com és el plat que es mengen».

Altrament, entenem que és imprescindible impulsar lʼaccés lliure i igualitari a la tecnologia. Cal combatre les diferents barreres (de classe, de nació, de gènere, etc.) que ens trobem en lʼaccés a la tecnologia. Probablement lʼexemple més visible és la qüestió de gènere: la construcció social del discurs hegemònic patriarcal respecte de la divisió de treballs i tasques per gènere ens ha condemnat a una tònica en què els espais relacionats amb la tecnologia en general, i amb el hacking i la seguretat informàtica en particular, acostumen a ser ambients hipermasculinitzats.

Dʼaltra banda, volem desestigmatitzar tota la terminologia que té a veure amb el hacking i els hackers, que actualment té una connotació pejorativa en el terreny mediàtic, social i comunicatiu en general. Volem posar èmfasi en la idea que fem hacking ètic. Defensem que el hacking no és, en absolut, una activitat delictiva en si mateixa.

Segons el nostre punt de vista, un hacker és algú amb molta curiositat per a saber com funciona un sistema informàtic, i que lʼentén i hi treballa fins al punt de dur-lo més enllà de les funcionalitats inicials per a les quals havia estat pensat. Una part indispensable dʼaquest camí passa per la cerca de vulnerabilitats (lògiques, tècniques, de plantejament...) que poden afectar el sistema de manera negativa (o no controlada).

 

El concepte de hacking és similar al de programari lliure?

Poden estar relacionats, però no responen a una mateixa classificació categòrica. És evident que existeix una intersecció no buida entre els mons del hacking i del programari lliure. Tanmateix, cap dels dos no està contingut totalment en lʼaltre. És habitual trobar hackers o comunitats de hacking que participen en el desenvolupament de programari lliure, però igualment es dona el cas antagònic en què existeix programari privatiu per a cobrir funcionalitats típiques relacionades amb la seguretat informàtica i el hacking.

 

Com definiries el hacking ètic?

El hacking ètic no és cap invenció nostra. És un terme que no està delimitat en absolut, ni es regeix per cap codi ètic concret que reguli cap organisme o institució. Més aviat, té a veure amb el fet de fer èmfasi en un hacking que té en compte els aspectes ètics que hi pugui haver al darrere de tot el que involucra la seguretat informàtica, ofensiva i defensiva.

No és trivial en absolut intentar definir i delimitar el significat del hacking ètic, i caldria una reflexió profunda, tant individual com col·lectiva, que ens poguera portar a una aproximació del seu significat, si és que n'ha de tenir cap. I aquest, igualment, seria parcial, en tant que no podria esdevenir una definició per a tota la comunitat: es tractaria només dʼun acord local.

En qualsevol cas, sʼacostuma a entendre el hacking ètic com el que no busca malmetre sistemes pel simple lucre personal o privat, sinó que té com a horitzó augmentar la seguretat dels sistemes i les infraestructures informàtiques —i tecnològiques en general— amb què convivim dia a dia i de les quals depenem constantment.

 

Es podria dir que sou un grup de hacking?

No exactament. Lʼobjectiu de lʼassociació com a tal no és esdevenir un grup de persones que es dedica a fer hacking sobre sistemes informàtics, sinó poder generar espais de debat i formació al voltant de la seguretat informàtica i pel lliure accés a la tecnologia.

Tanmateix, en el marc dels objectius descrits anteriorment, sí que ens hem plantejat poder dinamitzar des de lʼassociació un grup més o menys estable que es puga dedicar al hacking com a tal, en forma dʼequip per a competicions del tipus de captura la bandera (CTF), per exemple. Això seria, però, una més de les diverses formes de canalitzar en la pràctica les aspiracions que tenim com a associació.

 

De què parlem quan parlem de seguretat informàtica?

La seguretat informàtica està relacionada amb totes aquelles infraestructures, sistemes informàtics i pràctiques que tenen a veure amb la integritat, disponibilitat i privacitat de les dades. Podem dir que, a grans trets, un sistema informàtic és segur sempre que puga garantir els pilars bàsics que acabem dʼanomenar. No obstant això, com sʼacostuma a dir, i amb tota la raó del món, no hi ha cap sistema informàtic que siga 100 % segur.

Els mecanismes i plans dʼactuació depenen molt de cada sistema i caldria una anàlisi concreta i més o menys tècnica per a cada cas.

Amb tot això, hem de ser conscients que en el moment en què estàs connectat a qualsevol xarxa comunicada amb altres dispositius (lʼexemple més evident és Internet), tens cert grau dʼexposició. De fet, sempre sʼha dit que lʼesglaó més dèbil dʼun sistema informàtic és lʼusuari: la persona que lʼusa. És a dir: per molt segur que sigui un sistema des del punt de vista tècnic, si, per exemple, un usuari rep un correu i obre un arxiu que conté un virus, aquest entrarà en el sistema. Això sʼha pogut constatar recentment amb el cas de lʼatac massiu de programes maliciosos (ramsonware), en què la via dʼentrada als sistemes han estat majoritàriament els usuaris. La conscienciació i la formació, per tant, han dʼarribar des de lʼusuari bàsic fins als màxims responsables del sistema en qüestió.

 

Quines activitats organitzeu?

Com a associació, ens plantegem lʼorganització de xerrades, tallers i cursos en lʼàmbit educatiu i professional, tant en el terreny tècnic com divulgatiu.

A tall dʼexemple, quan vam fer la presentació de lʼassociació —a la Facultat de Matemàtiques i Informàtica—, vam aprofitar per a fer una petita demostració de diverses vulnerabilitats simples accedint a alguns aparells, com ara impressores o càmeres web, que estaven a Internet amb credencials per defecte, o directament sense cap tipus de protecció. Moltes vegades, els usuaris no són conscients que els usuaris i contrasenyes per defecte de la immensa majoria dʼaparells són de domini públic.

Així mateix, vam fer un taller dʼauditoria sobre xarxes wifi fa poques setmanes, en què vam analitzar la (falta de) seguretat de la majoria de dispositius wifi, en particular routers domèstics, i vam realitzar atacs directes en diferents escenaris possibles.

Dʼaltra banda, proposem de participar en congressos i conferències sobre hacking i seguretat informàtica per estar al dia de noves tecnologies i metodologies pel que fa a aquests temes. També estem començant a establir contacte amb persones i col·lectius amb objectius similars als nostres per a poder crear sinergies en aquest sentit.

 

En general, penses que som conscients de lʼús que es fa de les nostres dades?

La trista realitat és que som molt poc conscients del que passa amb les nostres dades. Hi ha una gran quantitat de serveis i aplicacions que sʼofereixen com a gratuïts, que abans sʼhaurien pagat amb diners i que ara paguem amb les nostres dades sense ni tan sols saber-ho: Google i Facebook en són, possiblement, els exemples per antonomàsia. Es mercadeja descaradament amb les nostres dades, que es fan servir per a crear perfils polítics, de salut, de les relacions personals, etc. Tot això, al servei del lucre privat dʼuna minoria i del control sistemàtic de les nostres vides.

Ho resumien molt bé les companyes de Críptica: «Que no tingues res a amagar no significa que la teua condició (laboral, ideològica, mediàtica, de gènere...) estiga lliure dʼamenaces». I afegiria, a més, que tampoc ens pren el dret que tenim, com a individus i com a societat, a la privacitat; a no ser espiats.

Per a combatre això, el primer que cal és prendre'n consciència i tenir accés a formació bàsica al respecte. En aquest sentit, des de Hacking Lliure aportarem el nostre gra de sorra a la tasca de conscienciació i formació en tots els àmbits i espais que ens siga possible.