Article traduit de tal com estava publicat en Kriptopolis en 2011,
veure comentari al final. [ES]
Impartir coneixements de hacking en classe?
Curiositat
Veureu, soc professor d'informàtica i tecnologia a les Illes Balears
i gairebé podria assegurar que la pregunta que més m'han fet el
primer o segon dia, a l'aula d'informàtica ha estat: “Profe, tu ets
un hacker?” És clar, si la curiositat estreny, no es tallen i tal
com estan les coses, la veritat és que no m'estranya. Si tinguéssiu
13 anys o una cosa semblant, no us produiria curiositat el món del
hacking? Perquè això cal aprofitar-ho. La curiositat és una de les
claus en l'aprenentatge.
Vegem com però abans, un altre enfocament.
Mares i pares
Com a tutor que he estat, en presentar el curs als pares i sobretot
a les mares, que venen en proporció major i en parlar d'informàtica,
m'han demanat que els expliqui els perills d'internet. Suposo que
abans, el que preocupava era més una mica de privacitat i la
protecció, ara crec que és més directament la pederàstia
i els possibles maltractaments el que fa que preguntin “els parlareu
de no posar fotos o donar les seves dades a desconeguts?”
Ens demanen que parlem dels perills d'internet, els ciberperills. I
és natural, el que els preocupa surt a les notícies dels periòdics i
en la tele amb freqüència i a més. tenen una percepció de la
inseguretat molt en primera persona pel malestar en carn pròpia a
causa de virus,
cucs,
troians, phishing
...
Per això ho afegeixo a aquest material, per a donar una mica de guia
en aquest assumpte. Però abans de veure com integro aquests
aspectes, un últim detall que és clau per a entendre-ho tot.
La privacitat
Avui dia tothom assumeix que s'està perdent la privacitat, que se'ns
està escorrent entre les mans i fins i tot, alguns més moderns,
defensen que fins i tot ha de perdre's més perquè és el que passarà
tard o d'hora i és maldestre oposar-se.
No és que les comunicacions electròniques no siguin segures, és que
hem arribat a punts en els quals la violació d'aquest dret
fonamental ha arribat a absurds. Cap jutge espanyol que jo sàpiga ha
posat cap pega al fet que, en els sistemes operatius de Microsoft i
Apple, el
Windows Mitjana Player i RealPlayer han informat del que els
usuaris veuen o escolten per internet a algú als EUA. Cap
jutge ni cap fiscal espanyol ha mogut un puñetero dit.
I com aquest molts casos i molta falta de sensibilitat. I la
impressió és que anirà a pitjor.
Bé dons, som-hi, ajudem-los des de les classes a avançar en els
valors, els hàbits, els coneixements i les destreses que exigeix
aquesta realitat.
Com?
Per interès en el tema, m'he preparat material per a una unitat
didàctica sobre Hacking-*ciberpeligros-privacitat. Hacking, que és
el que estimula la curiositat dels alumnes; ciberills, que és el que
preocupa els pares i privacitat, que és l'ingredient clau si
s'enfoca des d'un punt de vista més tècnic.
Amb aquests objectius en ment he preparat un hipermapa conceptual
usable a mode de presentació, que permet en unes poques classes
abordar el tema sense causar una gran desviació de la programació
del curs:
Funcionalitat
El mapa que vaig voler presentar en Kriptopolis -que ha estat
per a mi una referència en el tema des de sempre- està fet amb Inkscape
[es] en forma de imatge
vectorial i en clicar, va passant per les diferents etapes de
la presentació. Un pot clicar en zones no marcades i seguir
"les transparències" o pot prémer el botó central del ratolí i triar
una opció en el menú desplegable que apareix.
Si es segueix l'ordre en què apareixen les zones del mapa, primer es
veurà un cop d'ull general per a poder introduir el tema i que els
alumnes el relacionin amb el mateix mapa imprès en paper que tenen.
Després, es dona per iniciada la classe i passem a un mapa molt
menys dens però també amb una panoràmica general per a explicar les
zones que es comentaran. I després detalladament i en gran cadascuna
de les zones.
Hacking
En explicar el Hacking el mapa facilita que s'esmentin les diferents
maneres d'entendre-ho.
· Ja sigui com ho veuen les pel·lícules que ja no tenen el
personatge de la dinamita que entra en l'equip que roba el banc sinó
que l'han canviat per un altre que sol estar defora dins una
furgoneta i que obre tot, sap el que passa per tot l'edifici i per
on sortir en el moment que sigui necessari.
· O ja sigui dividint el món entre els bons, hackers i els dolents,
crackers. Que és un punt de vista bastant estès.
· O ja sigui amb un tercer punt de vista més incloent i detallat:
que el hacking és gaudir trobant solucions sorprenents a temes
complexos. I això inclou els hacklabs de
Debian o els de KDE,
inclou que els crackers són hackers però especialitzats en temes de
seguretat (i detalls com trencar proteccions per xifratge). I també
inclou que els que realment cometen delictes, per molt que sàpiguen
no són hackers si nó delinqüents, ciberdelinqüents. Cadascun amb les
seves característiques diferenciades.
Així el professor pot mostrar la informació plural i dir: “els
mitjans i les pel·lícules ajunten aquestes zones, algun periòdic i
una altra gent el veu d'aquesta altra forma, i algunes comunitats
posen especial interès en què no es confonguin els detalls i que no
se'ls classifiqui barrejant-los amb la delinqüència”.
El alumnes poden trobar en internet tot tipus de hacks, exploits o tècniques, en
fòrums, youtube, revistes, blogs especialitzats... Així que tota la
informació ja es troba a l'abast de les mans de qualsevol que un dia
tingui curiositat o fins i tot abans amb les xarxes socials actuals.
La diferència és que un professor pot intentar adaptar el nivell de
profunditat, pot fixar-se uns criteris didàctics, pot mostrar els
valors propis del tema i així, realitzar la seva labor, ajudar
l'alumne a aprendre a viure en llibertat. No és el mateix veure
simplement una xerrada d'un hacker en youtube, la qual cosa és molt
més freqüent del que es pensa, que rebre una classe d'un professor
d'una forma més integral.
Valors
Una de les claus del hacking són els seus valors. Privacitat, Ètica
hacker, transparència, llibertat, habilitats tècniques i naturalment
tot el relacionat amb seguretat. La secció sobre els valors dels
hackers és clau a l'hora de contagiar precaució en privacitat i per
això toca parlar de temes com el sèxting o
les contrasenyes.
Si es tracta d'aprendre a viure dins una realitat que plantetja
temptacions, crec que és necessari comentar-los les experiències
viscudes de la gent a la xarxa i ajudar-los a fer la valoració de
riscos que ajudin a desenvolupar una actuació responsable.
Per exemple, jo solc comentar que els equips de seguretat no s'han
quedat parats en les seves posicions de partida. Tant les mesures de
seguretat com la complexitat dels atacs han anat incrementant-se en
una carrera com la dels canons i les muralles: més alt dispara el
canó, perquè més fort i alta la muralla i viceversa.
Alumnes de secundària o fins i tot batxiller, no poden esperar
ficar-se dins els servers en la CIA, entrar a la primera sense que
passi res. El que ocorrerà és que estaran en un honeypot,
en un ordenador parany en el qual pensaran que fan alguna cosa però
l'única cosa que aconseguiran seran les riallades dels vigilants que
estiguin veient el que fan en els seus monitors. I després les
conseqüències.
Cal ensenyar que experimentar és interessant però que no és el
mateix provar coses a la teva casa amb la teva computadora que
provar-les amb un servidor d'una agència de seguretat o una empresa
qualsevol. Han de saber que les penes són molt dures i això sense
trobar-se amb un sicópata a l'altre costat que casualment tingui
coneixements tècnics, detecti l'atac i els agafi mania.
Ciberperills
Res més començar la classe i amb el mapa en la seva primera vista,
obro el navegador i els demostro com de senzill és enviar un email
fent-se passar per una altra persona. No dura més de tres minuts i
m'ajuda a ensenyar detalladament com confirmar que un email és fals.
Això els obre els ulls.
No necessito anar després més enllà de dir-los que si jo faig això
en 3 minuts, no es poden imaginar el que pot fer la màfia
contractant gent tècnicament molt hàbil, treballant en equip i 12
hores al dia durant mesos.
El mapa nomena i enllaça termes com el grooming
i així puc continuar explicant i només he d'anar ajustant-me al
temps que m'he marcat inicialment amb la flexibilitat que decideixi.
Esdeveniments i tipologia
Per descomptat no puc explicar el món del hacking sense nomenar
almenys alguns dels esdeveniments que es realitzen i donar alguns
detalls. I el mateix passa amb els tipus de hackers. Els resulta
bastant interessant que expliqui que el hacktivista és més actiu a
intentar aconseguir efectes socials, que el hacker artista li agrada
el comunicar i l'estètica i ja no dic l'interessant que és resulta
el hacking técnic. Dividint hacking de programari i de maquinari.
Es fa una mica més difícil, per la complexitat tècnica, explicar o
més aviat introduir alguns termes, sobretot a edats primerenques;
però a l'alumne, que la seva curiositat li té excitat, no li ho
sembla, és tot atenció.
Perquè es vegi el grau d'acceptació d'aquestes sessions, haig de dir
que solen els alumnes mostrar la seva sorpresa i grat fins a tal
punt que han arribat a aplaudir. I no sols quan altres
professors em conviden a parlar aquest tema en les seves classes,
fins i tot en les meves pròpies classes a alumnes que els ensenyo
altres coses i estan acostumats a mi, m'ho han agraït amb
aplaudiments i altres formes com demanar que continuï així el curs.
És una cosa extraordinària, no sol passar. I resulta gratificant.
La meva experiència
No hi ha formació per als professors sobre el món del hacking,
moltíssims simplement el desconeixen del tot i la reacció és no
voler entrar per por, per no voler ficar-se en embolics.
Un exemple de la meva pròpia experiència amb l'email fals: el primer
any que vaig començar a parlar-ho en classe vaig cometre un parell
d'errors, vaig intentar donar una mica de la meva experiència a nois
que no eren exactament els meus alumnes i no vaig coordinar el tema
amb altres professors del departament. I d'entre els cinc grups meus
i un que no ho era, va haver-hi un alumne que va decidir, uns mesos
després, buscar la manera de fer alguna cosa que jo havia mostrat
que es podia fer perquè veiessin el perill. Els vaig demostrar que
era fàcil fer-ho i els vaig ensenyar a detectar-ho; volia que
sabessin com actuar.
Els meus companys es van sentir malament i molt decebuts amb mi. El
director del centre va haver de mediar amb el pare que també se
sentia enfadat per la resposta del nen: "m'ho ha ensenyat un profe"
sense entendre la situació. Es podria resumir en què tots els meus
caps i els meus companys de departament pensaven que això no s'havia
d'ensenyar.
Jo em vaig disculpar i vaig dir que si ho haguéssim parlat i
coordinat abans, això no hagués passat i els vaig dir que prepararia
material didàctic i ho coordinaria amb el següent departament que em
toqués. Van ser comprensius i la tensió es va relaxar.
I és cert. A l'any següent, sense tenir encara el material, el vaig
comentar amb el meu nou departament i van rebre la idea amb
moltíssim interès i vaig acabar fent classes sobre aquest tema a
grups d'altres professors.
Lliure
Un dels meus objectius és parar la idea estesa que el hacking és un
mal per a la societat, la qual cosa és conseqüència de la falta de
comprensió del terme. Miro sempre de comentar que si llevem al
hacker del mon en que vivim, els que s'aprofiten que hi hagi forats
de seguretat en el software per a fer mal a la gent, estaran
encantats.
Que els hackers en la pràctica, amb els seus valors, amb el seu full
disclousure, amb el seu activisme, no sols o no són el perill,
sinó que són moltes vegades els que detecten les fallades de
seguretat i avisen i ajuden a que siguin corregits.
Quan alguna vegada em pregunten companys "Què tal el dia?" de tant
en tant responc excitat: "avui els he donat una classe de hacking".
Alguns obren els ulls en un gest de sorpresa i preocupació. El que
no saben és el que gaudim i el fàcil que és fer-ho bé, millorant la
seva educació.
M'agradaria que altres professors sabessin que poden usar aquest
material i compartir amb mi els seus dubtes si volen, que jo els
donaré una mà en el que pugui. Tot el contingut del mapa és lliure.
Pot usar-se sense haver de pagar i adaptar-se al que es necessiti i
fins i tot vendre-ho, que jo estaré encantat de veure que algú ho fa
servir. I de fet, així ha estat quan m'he adonat que, tot d'una, en
una conferència
al Perú, a l'altre costat del món, a algú li ha resultat útil
a l'hora d'explicar alguna cosa.
Si m'informeu de que ho heu usat em donareu un gran plaer i si
detecteu algun error o possible millora comenteu-me'l que
m'interessa i així tots tindrem les millores compartides.
Notes sobre aquest article en 2024
He preferit no actualitzar l'article en la mesura del possible per a
mantenir la seva naturalesa de la seva època el 2011. Va ser
publicat en Kriptópolis que era per a mi el millor lloc de hacking
en castellà. De fet, 5 anys més enrere jo havia col·laborat amb ells
en un fòrum molt dinàmic que tenien com a encarregat de moderar la
secció de privacitat. És a dir, coneixia bé la web, la seguia i
apreciava molt. Haig de dir que estic molt agraït a Kriptopolis per
les amables paraules del seu administrador primer en un email en
privat i després en un comentari públic. 'És un dels millors
articles publicats en Kriptopolis.' Mai oblidaré la satisfacció que
em va donar llegir-les.
La veritat és que allí hi havia nivell. De fet, un dels seus
articulistes és avui dia un dels caps de la intel·ligència
espanyola. Va arribar molt lluny.
Com pot passar amb els continguts lliures, va acabar sent traduït i
usat per altra gent i ho he anat presentant dins de les meves
xerrades en diferents universitats del món juntament amb els meus
mapes conceptuals del programari lliure però això és tema per a un
altre article en un altre moment.
Moltísimes gràcies a tots els que es van interessar i/o contribuir
d'una manera o d'una altra. Crec que moltes de les idees
realment potents no tenen un únic pare, només gent que les readapta
i comparteix. És a dir, les hackeja.
--
Tornar als meus materials de hacking
