Doktoretza tesian sentsoreen zibersegurtasuna hobetzeko egin zuen aurrerapenagatik Datuak Babesteko Euskal Bulegoaren aitortza jaso zuen Jasone Astorga (Amurrio, 1981) telekomunikazio ingeniariak. Egun, klaseak ematen ditu EHUko Bilboko Ingeniaritza Eskolan, eta zibersegurtasuna ikertzen jarraitzen du.
Zerk eraman zintuen komunikazio ingeniari izatera?
Gauzek barrutik nola funtzionatzen duten ezagutzeko kuriositatea izan dut betidanik, eta hortik etorri zen agian ingeniari izateko hautua. Denbora batez enpresa batean ere lanean ibili nintzen, baina konturatu nintzen hori ez zela niretzako. Errutina ez zait asko gustatzen. Ikertzea beste kontu bat da, beti gauza berrietan ari zarelako. Pozik nago egiten dudanarekin.
"Konputazio kuantikoarekin, oraingo protokolo batzuk jada ez dira ziurrak izango"
Agian unibertsitateko beste diziplina batzuetan kontua zurrunagoa da?
Ez dut uste. Azkenean, unibertsitatearen abantaila da ez duzula nagusi bat gainetik. Zu zara zure buruaren nagusia. Klaseak eman behar dituzu, hori argi dago, baina ikerkuntzaren alorra guztiz zabala da. Gainera, beste diziplina anitzeko proiektuetan lan egiten dugu, eta hori oso aberasgarria da. Gure kasuan, askotan zuzenbidearen munduan aritzen den jendearekin kolaboratzen dugu, eta oso polita da beren ikuspuntua jasotzea. Izan ere, askotan hutsuneak sortzen dira legeen arloan, eta teknologia berriak arautu behar dira.
Irekitzeko meloi handia dago hor...
Bai. Adibidez, zuzenbide arlokoek oso argi dute zeintzuk diren babestu behar diren pertsonen oinarrizko eskubideak, eta, guk, askotan, ez dugu hori hain presente. Hortaz, guk ere asko ikasten dugu beraiengandik. Medikuntzaren arloko adituekin ere lan egin dugu, erabiltzen dituzten gailuen zibersegurtasunaren harira. Industriaren mundukoekin ere, industria 4.0 horren barruan, makinen arteko komunikazioa ziurtatzeko. Lanbide honek gauza desberdin asko egiteko aukera ematen du.
Egin zenuen tesiagatik sari bat eman zizuten. Laburtuko didazu lau esalditan?
Funtsean sentsoreetarako identifikazio eta sarbide kontrol segururako protokolo bat landu nuen. Hori nahiko ezarrita dago ohiko gailuetan, hala nola tablet edo telefono mugikor batean, baina oso baliabide gutxi dituzten gailuetan askoz zailagoa da. Sentsoreen kasua da. Mekanismo kriptografikoek prozesamendu gaitasun eta memoria eskakizun handiak dituzte, baina sentsoreek ez daukate hori egiteko modurik.
Konputazio kuantikoaren etorrerarekin beste maila batean egongo al gara?
Bai. Batetik, errazagoa izango da beste sistemak hackeatzea, baina errazagoa izango da ere sistema horiek babestea. Oraingo protokolo kriptografikoek ordenagailuentzat ebaztezinak diren problema matematikoak erabiltzen dituzte: ordenagailu batek urteak beharko lituzke problema horiek ebazteko. Baina konputagailu kuantikoek oso azkar ebatzi ditzakete. Horregatik, gaur egun erabiltzen diren protokolo batzuk dagoeneko ez dira seguruak izango. Baina hau duela hainbat urte aurreikusi zen, eta deialdi bat egin zitzaien ikertzaileei, konputazio kuantikoaren aurrean sendoak diren protokoloak sortzeko. Eta azkeneko fasean daude.
Beraz, Giza Genoma proiektuaren antzeko bat al duzue esku artean?
Bai! Eta jada lau buelta edo egon dira, gainera! Ikertzaile batzuek protokoloak aurkeztu dituzte, eta beste batzuk ahalegindu dira protokolo horiek hausten. Horrela, proposamen batzuk bertan behera geratu dira, utzi dituztelako. Azkenean, gutxi batzuk iritsi dira amaierara. Adibidez, horrela sortu da gaur egun asko erabiltzen den AES [Advanced Encryption Standard] algoritmoa.
Zeintzuk dira orain gehien zabalduta dauden zibererasoak?
Zibererasoak normalean izaten dira edo datuen konfidentzialtasunaren aurka — hots, pribatua den datu bat irakurri ahal izatea—, edo nortasunaren usurpazioa, pertsona baten nortasunarekin jokatuz. Bestetik, oso ohikoak dira zerbitzuen ukapena —DOS, edo denial of service—. Azken hauek egiteko errazenak dira: zerbitzu bat modu masiboan erabiltzen baduzu, horrekin nahikoa da zerbitzua blokeatu eta bertan behera uzteko. DOS horien barruan gehien erabiltzen dena da ransomware motakoa. Horietan erasoak disko gogorrak zifratu egiten ditu, eta gero erasotzaileek diru kopuru bat eskatzen dute hori deskodetzeko gakoaren truke. Baina, askotan, ordainduta ere, gakoa ez dizute ematen! Beste mota da phisinean edo ingeniaritza sozialean oinarritutakoak. Askotan sistemak oso seguruak dira, baina parterik ahulena gu gara. Hortaz, errazena da gizakiak engainatzea, sistema bera apurtzea baino.
"Norberak izan behar du erabakitzeko aukera, baina informatuta egonda"
Eta forma berriak al daude, ala betiko trikimailuen aldaera berriak al dira?
Eboluzionatuz doaz. Adibidez, ransonwarean, disko gogorra zifratzeaz gain, orain backup edo babes kopiak ere zifratzen dituzte. Asko aurreratzen ari dira ere IoT [Internet of things edo internetera konektatutako] gailuetan oinarritutakoetan ere. Duela zenbait urte egon zen mundu mailako eraso bat, Facebook eta beste zerbitzu asko beran behera utzi zituena. Bada, abiatu zen babestu gabe zeuden telebista adimenduak erabiliz. Funtsean, SmartTV batek badauka sistema eragile bat, askotan ez badakigu ere; beraz, internetera konektatuta dagoen ordenagailu txiki bat du. Gailu pila bat infektatzea lortu zuten, bot deitzen diren programa txikiekin, eta DOS eraso bat egitea. Normalean DOS eraso baten bitartez zerbitzu bat modu masiboan erabiltzen da, eta nahiko erraza da detektatzea une jakin batean milaka konexio datozela puntu batetik. Erantzuteko, puntu hori blokeatu besterik ez duzu egin behar. Baina beste gailu asko kutsatzen dira, ez da batere erraza detektatzea nondik datorren erasoa.
Multzokako eraso bat, erlekumeen antzera...
Hori da. Infektatutako gailu guztiak martxan jarri eta, asko direnez, ez dakizu zehazki zein den erasotzailea eta zein ez. Ezin dituzu guztiak blokeatu. Horri deitzen zaio DDOS edo distributed denial of service. Azken eraso horietan hori izan zen baliatutako teknika.
Sentsazioa daukat ezagutzen direnak baino askoz eraso gehiago ari direla gertatzen. Hala al da?
Bai, bai... prentsan agertzen direnak baino askoz gehiago dira.
Izenik aipatu gabe, kontatu daiteke baten bat?
Ez, kar kar! Inondik inora. Konfidentzialtasun protokolo oso ziurrak ditugu. Ezin dizut ezer kontatu...
Posible da interneten zati handi bat erortzea, ala aukera hori prentsan horren gustuko ditugun istorio apokaliptiko horietako bat baino ez da?
Egia esanda, batzuetan sareetan lan egiten dugunok izututa gaude gauzak hain ondo funtzionatzen dutelako. Harrigarria da, aizu!
Adimen artifizialari beldurra izan behar al diogu?
Egia esanda, gero eta algoritmo gehiago adimen artifizialean oinarrituta daude, eta erabakiak hartzen ari dira gure baimenarekin. Baina nik beldurra ez nieke izango. Horretaz jakitun garela esango nuke. Gero eta gauza gehiago ipintzen ditugu interneten, eta gero eta gauza gehiago uzten ditugu makinen kontrolpean... Erabiltzen dugunean, Alexak guztia entzungo du. Baina ikusten da joera bat non makinak erabakitzen ari diren, guri buruzko datu ugarietan oinarrituta.
Hezkuntzaren aldetik, jendea prestatuta al dago atentzioa lapurtzen diguten gailu eta sistema horietarako guztietarako?
Ni behintzat ez, kar kar! Baina belaunaldi berriak agian bai. Kontzientzia sortu behar da horren inguruan. Zure datuak Googleren esku uztea... txarto al dago hori? Ez dakit txarra ala ona den, baina egia da jendeak kontzientzia izan behar duela egiten duenaz.
Alkoholak minbizia faboratzen duelako informazioa izatearen parekoa, eta gero norberak erabakitzea ardo on batez disfrutatu ala ez...
Hori da. Zerbitzu bat bahi baduzu, zuk erabakitzeko aukera izan behar duzu, baina informatuta egonda. Google Mapsek esango dizu nora joan nahi duzun; zerbitzu bat emango dizu. Baina jakitun behar zara zer suposatzen duen etengabean zure kokapenaren berri emateak.
Oro har, zer aholku emango zenioke jendeari?
Zailak diren baina gogoratzeko modukoak diren pasahitzak erabiltzea, eta ez erabiltzea berdina toki guztietarako. Batez ere sentikorragoak diren zerbitzuetan sarritan erabiltzen ez duzun pasahitza erabiltzea. Zerbitzu hori hackeatzen badute, horrek ez dizu aparteko minik egingo.
Duela gutxi GEU elkartearen izena erabilita eta euskara txukunean ziberiruzur bat egin zuten. Dagoeneko hizkuntza bera ere ez da berme bat...
Seguru hacker gaizto euskaldunak egongo direla, bai, denetarik dago munduan. Baina, horrez gain, gaur egungo itzultzaileak ere oso onak dira, eta hackerrek ere erabili ditzakete.
Internet of Things horretan benetako iraultza al dator, ala espektatiba gehiegi ari dira sortzen?
Gero eta gehiago erabiltzen ditugu gailu horiek. Kontsolak, smartTVak, fit bandak... eta sinetsita nago jarraituko dugula gero eta gehiago erabiltzen, orain arte etorri direnak oso ondo barneratu ditugulako. Hirietan ere asko zabaltzen ari dira sentsoreak, aparkatzeko edo presentziaren arabera argiztapena pizteko. Baita industrian edo medikuntzan ere.
Baikorra zara? Hori guztia positiboa al da?
Teknologia ez da ez positiboa ez negatiboa. Gakoa teknologiaren erabileran dago. Helburua ona baldin bada, ni positiboa naiz. Laguntzen badie pertsonei beren eguneroko bizitzan, medikuntzan, edo prozesu industrial bat hobeto egiten... hori guztia ona da berez.
Ikasle asko dituzue? Eta, horien artean, neska asko al daude?
Oro har, ikasle gutxi ditugu, eta horietatik oso gutxi dira neskak. Ni ikasten ari nintzenean gaur egun daudenak baino neska gehiago ginen klasean, eta, egia esanda, ez dakit zergatik ematen den alde hori. Baina enpresen aldetik eskari handia dago. Karrera amaitzean, normalean gure ikasleek lauzpabost toki dituzte aukeratzeko, eta amaitu baino lehen ere enpresek ikasleak eskatzen dizkigute. Gainera, unibertsitatean egiten den ikerkuntza ere oso aplikatua da, eta Basque Cybersecurity Centrek enpresen artean zein enpresen eta unibertsitatearen artean lotura lanak egiten ditu. Gero eta toki gehiagotan lantzen da zibersegurtasuna, edozein enpresak bere aktibo eta prozesu asko digitalizatuta dituelako. Hortaz, aukera ona da telekomunikazio ingeniaritza ikastea.