Una Ideología de Violación

Uno de los objetivos de este blog es poner en duda las ideas que circulan, sobretodo en los ámbitos tecnológicos. El presente texto es de Jaron Lanier, y plantea un cuestionamiento ético importante, en particular a todos los que estamos interesados en la seguridad.  El texto es de Jaron Lanier, los links y notas los puse yo.

Una Ideología de Violación

por Jaron Lanier

Internet ha llegado a estar saturada con una ideología de violación. Por ejemplo, cuando algunas de la figuras más carismáticas del mundo en linea, incluyendo a  Jimmy Wales, uno de  los fundadores de Wikipedia, y Tim O‟Reilly, el creador del término “web 2.0,” propusieron un código de conducta voluntario ante el caso de matonaje a Kathy Sierra¹, hubo una protesta generalizada, y las propuestas no llegaron a ninguna parte.

La ideología de la violación no irradia desde las profundidades del reino troll, sino de las mayores alturas académicas. Hay respetables conferencias académicas dedicadas a los métodos de violar todo tipo de santidades. El único criterio es que los investigadores desarrollen alguna manera de usar la tecnología digital para lastimar gente inocente que pensaba que estaba a salvo.

En 2008, investigadores de la Universidad de Massachusetts en Amherst y de la Universidad de Washington presentaron papers en dos conferencia (llamadas Defcon y BlackHat), divulgando una bizarra forma de ataque que aparentemente nunca se había expresado en público antes, incluso en trabajos de ficción. Ellos gastaron dos años de esfuerzo de su equipo para conseguir la forma de usar tecnología de teléfonos móviles para hackear marcapasos y apagarlos por control remoto con el fin de matar a una persona [2]. (Aunque ocultaron algo de los detalles en sus presentaciones públicas, ciertamente describieron lo suficiente para garantizar que el éxito era posible.)

La razón por la que yo llamo a esto una expresión de una ideología es que hay un entramado de argumentos vigorosamente construidos que decoran este comportamiento asesino para que parezca algo grandioso y nuevo. Si la mismos investigadores hubieran hecho algo similar sin tecnología digital,  habrían al menos perdido sus trabajos. Supongan que ellos hubieran gastado un par de años y abundantes fondos investigando como configurar una lavadora para envenenar la ropa con el fin de (hipotéticamente) matar a un niño una vez que el se la pusiera. O ¿qué tal si hubieran dedicado un laboratorio en una universidad de elite para encontrar una nueva forma de manipular imperceptiblemnte esquíes para causar accidentes fatales en las pistas? Estos son proyectos perfectamente factibles, pero, como no son digitales, no soportan esta ilusión de ética.

Un resumen de esta ideología es más o menos así: toda esta gente no técnica, ignorante e inocente allí afuera que van por su vida pensando que están a salvo cuando en realidad son terriblemente vulnerables a todos quienes son más inteligentes de lo que ellos son. Por lo tanto, nosotros los técnicos, las personas más inteligentes tenemos que inventar formas de atacar a los inocentes, y publicar nuestros resultado, de modo que todos estén alertados de los peligros de nuestros poderes superiores. Después de todo una persona astuta y malvada podría venir.

Hay algunos casos en los cuales la ideología de violación lleva a practicas positivas. Por ejemplo, cualquier joven técnico tiene el potencial de descubrir una nueva manera de infectar un computador personal con un virus. Cuando esto pasa, hay varios pasos siguientes posibles. El menos ético podría ser para el “hacker” infectara computadores. El más ético podría ser que el hacker discretamente deje que las compañías que soportan los computadores lo sepan, de modo que los usuarios puedan descargar mejoras. Una opción intermedia sería publicar la vulnerabilidad para obtener gloria. Un parche puede usualmente ser distribuido antes de que la vulnerabilidad sea explotada.

Pero el ejemplo de los marcapasos es enteramente diferente. Las reglas de la nube aplican pobremente a la realidad. Le tomo a dos laboratorios académicos de alto nivel dos años de esfuerzo enfocado demostrar la vulnerabilidad. y esto sólo fue posible porque un tercer laboratorio en una escuela de medicina fue capaz de procurarles marcapasos e información sobre estos, algo que normalmente sería muy dificil de conseguir. ¿Deberían los estudiantes de enseñanza media o los terroristas, o cualquier otra parte imaginable, haber sido capaz de ensamblar los recursos necesarios para para averiguar si era posible matar gente de esta nueva forma?

La reparación en este caso requeriría de muchas cirugías, más de una por cada persona con un marcapasos. Nuevos diseños de marcapasos sólo inspirarán nuevas formas de explotarlos. Siempre habrá una nueva vulnerabilidad, porque no existe una cosa tal como la seguridad perfecta. ¿Deberá cada paciente cardiaco programar cirugías al corazón anuales para mantenerse por delante de estos bien intencionados académicos, sólo para poder mantenerse vivo? ¿Cuanto costaría? ¿Cuántos podrían morir de los efectos laterales de la cirugía? Dada la oportunidad sin fin de hacer daño, nadie será capaza de actuar con la información que los investigadores han tenido a bien proveer, así que cualquiera con un marcapasos estará para siempre a un mayor riesgo de lo que de otra manera podría haber estado. No se ha logrado ninguna mejora, sólo daño.

Aquellos que están en desacuerdo con la ideología de la violación se dice que subscriben a la falaz idea conocida como “seguridad a través de la oscuridad”.  La gente inteligente no se supone que acepte esta estrategia de seguridad, porque internet supuestamente ha vuelto a la oscuridad obsoleta.

Luego, otro grupo de investigadores de elite han gastado varios años encontrando el modo de abrir una de las cerraduras más difíciles de abrir, y han publicado los resultados en internet. Esta era una cerradura que los ladrones no habían logrado violar por si mismos. Los investigadores compararon su triunfo al rompimiento por parte de Turing de la máquina Enigma[3]. El método usado para abrir la cerradura podría haber permanecido oculto si no fuera por la ideología  que ha encantado a gran parte del mundo académico, especialmente los departamentos de ciencias de la computación.

Ciertamente la oscuridad es la única forma fundamental de seguridad que existe, y que internet por si misma no hace obsoleta.  Una forma de desprogramar a los académicos que compran la omnipresente ideología de la violación es hacerles notar que la seguridad por oscuridad tiene otro nombre en el mundo de la biología: biodiversidad.

La razón por la que algunas personas son inmunes a virus como el SIDA es que sus particulares cuerpos son oscuros al virus. La razóm por la que los virus de  computadoras infectan más PCs que Macs no es que el Mac tenga mejor ingeniería, sino que es relativamente oscuro. Los PCs son más comunes. Esto significa que hay más retorno en el esfuerzo de atacar los PCs.

No existe algo como una cerradura inviolable. De hecho, la gran mayoría de los sistemas de seguridad no son demasiado difíciles de romper. Pero siempre se requiere de un esfuerzo para encontrar cómo romperlos. En el caso de los marcapasos, tomó dos años a dos laboratorios, lo cual debe haber significado un gasto significativo.

Otro elemento predecible de la ideología de la violación es que cualquiera que se queja de los rituales de la elite de violadores será acusado de difundir el FUD(*), temor, incerteza y duda. Pero en realidad son los ideólogos los que buscan publicidad. Todo el punto de publicar  vulnerabilidades como el ataque a los marcapasos es la gloria. Si la notoriedad no está basada en esparcir el FUD, ¿qué es?

(*) FUD por las palabras en ingés Fear, Uncertainty and Doubt.