Al grano. Aparición de «Málaga» en Science, aunque no porque un malagueño haya publicado en Science, aunque algo es algo.
Extracto: «On 6 October, at the European Symposium on Research in Computer Security in Málaga, Spain, Garcia presented the team’s work, delivering a paper rich in conceptual detail but short on how-to pointers for hackers.» Aparecido en Adrian Cho «University Hackers Test the Right to Expose Security Concerns,» Science 322: 1322-1323, 28 November 2008 [«Summary: When students in the Netherlands picked apart the world’s most common smart card system, were they torpedoing its manufacturer or protecting the public’s right to know?«].
El grupo de Seguridad Informática de la Universidad de Málaga es de los mejores de España. Organizaron en octubre de 2008 el congreso internacional «European Symposium on Research in Computer Security,» donde un grupo de holandeses presentó un método para descifrar el código secreto más utilizado para las tarjetas de identificación RFID (el sistema «MIFARE Classic»).
Este sistema es ampliamente usado para abrir puertas de parkings, para el acceso al Metro de Londres, etc., pero también para acceder a centrales nucleares, a bases militares, y otro gran número de edificios de seguridad restringida.
Hackers o investigadores. Por el bien de la ciencia o por el bien del C.V. de estos investigadores.
La historia, merece ser contada…
Finales de 2006, Roel Verdult, en Nijmegen, Holanda, buscaba proyecto fin de carrera en informática en la Universidad Radboud. Flavio García, que era estudiante de doctorado, le propuso «un sistema de aparcamiento gratis» (descubrir el código secreto de las tarjetas de parking basadas en RFID para poder aparcar gratis). Difícil, quizás. Buena idea, quizás. En marzo de 2007 ya habían logrado decifrar el código. Un proyecto fin de carrera más. No, ni mucho menos, querían hacerlo público. Publicarlo. Y se encontraron de frente con los servicios secretos del Estado Holandés y con la compañía que fabrica las tarjetas de aparcamiento, NXP Semiconductors (con más de mil millones de tarjetas vendidas en todo el mundo). Les denunciaron ante los tribunales. Hackers universitarios, pero hackers al fin y al cabo. Querían prohibir que se divulgara el código secreto («su» algoritmo). Sólo con 40 dólares, cualquiera podía descifrar una tarjeta RFID con dicho código. Los tribunales tenían la última palabra.
El artículo ha podido ser publicado en Málaga gracias a que un juez ha dictaminado que así puede ser. Ellos han hecho su «trabajo»: investigar. Si el sistema se ha podido violar es un problema de la compañía que no fue «lo suficientemente lista.» Eso sí, fue muy «listorra,» vistos los beneficios que ha obtenido. Pero el «chollo» lo han perdido.
El sistema MIFARE Classic es un sistema de clave privada. Lo ideal para que alguien «desee» descubrirlo. Podría haber sido un «hacker malintencionado.» Afortunadamente, han sido «hacker investigadores,» a priori, bienitencionados. Una vez alguien cuenta cómo funciona el algoritmo, todo el mundo sabe cómo descifrarlo (ya hay códigos en Internet para hacerlo; perdonad, pero omitiré enlaces). El sistema, una vez te cuentan cómo fuciona, es la típica «chorrada» que una empresa introduce en el mercado pero que sólo se sostiene «con alfileres». ¿Por qué no estudiarán Seguridad Informática las empresas que trabajan en Seguridad Informática?
La empresa no lo tiene todo perdido. Dice que va a incorporar un sistema de clave pública en las nuevas tarjetas. Eso sí, una vez «se les ha visto el plumero» no les ha quedado otro remedio. ¡Tánto cuesta hacer las cosas bien!
En resumen, Málaga, en primera línea.
¿Tiene derecho un director de proyecto fin de carrera a pedirle a un estudiante que realice un trabajo «ilegal» o al menos «alegal» por el bien de su formación y por el del C.V. del director?
«Confesionario:» confieso que, por el mero placer de lograrlo, le dirigí a un alumno un proyecto fin de carrera en el que desciframos las tarjetas de teléfono de Telefónica (ya hace muchos años, ya habrán cambiado mucho). Logramos una tarjeta que funcionaba. Por supuesto, el título oficial del proyecto y sus objetivos eran «ficticios.» No nos hubieran permitido hacer lo que queríamos. Desafortunadamente, el alumno no aprobó todas las asignaturas de su carrera y el proyecto, acabado como estaba, nunca se defendió. Abandonó. Ahora sé que se dedica, sin título oficial, a la informática de gestión y que le va muy bien, según me contó la última vez que le ví, ya hace unos años. Una pena.
Una pena que «informáticos» muy competentes, formados básicamente con dinero público, no acaben sus estudios por «enconarse» (que no «encoñarse») con algunas asignaturas y/o profesores. Una pena que no acaben y tengan que formar parte de las listas de «intrusismo oficioso» de la Ingeniería Informática en España. Una pena, pero al menos yo aprendí muchas cosas sobre seguridad informática que de otra forma nunca hubiera podido aprender. Por cierto, tampoco me han servido para nada más que para el mero placer de conocerlas.
El placer del conocimiento, ¡qué gran placer!