15:53 05/11/02
 

LOS EXPERTOS AUGURAN QUE LA SEGURIDAD EN INTERNET IRÁ A PEOR Y PROPONEN CENTRARSE EN LA SUPERVIVENCIA
 

Mercè Molist
Programas llenos de fallos, administradores de sistemas incompetentes, redes tan descentralizadas que ya no se sabe quién es el intruso y quién el usuario... Richard Pethia, director del norteamericano Centro de Coordinación de Respuesta a Emergencias Informáticas (CERT/CC), pintó un negro futuro, en dos charlas realizadas en Madrid y Barcelona. La apuesta de su equipo es cambiar la noción de seguridad por la de supervivencia.

¿Cómo hacer que las cosas sigan funcionando bajo un ataque? Ésta es la gran preocupación del CERT/CC, el más veterano centro de seguridad internáutica, basado en la universidad de Carnegie Mellon. Su director, Richard Pethia, propuso para ello entrenarse en la supervivencia, que definió como "la habilidad de un sistema para llevar a cabo su misión ante la presencia de ataques, fallos o accidentes, sabiendo que ningún componente es inmune. La misión es lo que debe sobrevivir, no un elemento individual, ni tan sólo el propio sistema".

Sin pronunciar ni una vez la palabra 'hacker' y muchas '11 de septiembre', Pethia dibujó el panorama: "Cada vez somos más dependientes de sistemas distribuidos a gran escala, para defensa, energía, telecomunicaciones, finanzas. Los intrusos, bien preparados y organizados, están atacando con más frecuencia e impacto, usando herramientas fáciles y diseñadas para grandes ataques. Internet es su blanco perfecto, de bajo riesgo y difícil rastreo".

El director del CERT/CC aportó estadísticas donde se muestra como, a partir de 1998, la curva de incidentes de seguridad se convierte en una línea vertical: "Cuando tengamos los datos del 2002 veremos que se han doblado y más, especialmente las Denegaciones de Servicio (bombardeo contra ordenadores). Y la cosa irá a peor, por el crecimiento explosivo de Internet y porque nadie sabe a dónde han ido los administradores de sistemas competentes. Con el auge del comercio electrónico, la seguridad queda en un segundo plano, a favor de los precios, presentación, etc", afirmó Pethia.

Junto a la mayor complejidad y usabilidad de los programas informáticos, Richard Pethia destacó el poco interés de los fabricantes por la seguridad: "Sólo en el 2001 avisamos de más de 2.500 vulnerabilidades. La raíz de nuestros problemas es la poca calidad de los programas. Esperemos que los vendedores sientan la presión y los hagan más seguros". Además, pidió "incentivar económicamente a los ISP para que mejoren su protección, por ejemplo a la hora de filtrar ataques de Denegación se Servicio".

Pethia mostró un mapa de la Internet estadounidense de los años 80, con pocos puntos unidos entre sí, y otro reciente, hecho un caos, ovillo cósmico de líneas y ramas. Para sobrevivir ahí, propuso un cambio de mentalidad: "De las cosas fijas y completas a las desconocidas, sin punto final ni perímetro, cambiando contínuamente. De jerarquías a redes interdependientes. De sucesos predecibles a sucesos asincrónicos. De un punto simple de responsabilidad a la responsabilidad compartida, a veces desconocida. De la seguridad como una actividad más a la supervivencia como esencial para el negocio".
 

CERT/CC
http://www.cert.org
 
 

Vulnerabilidades más frecuentes:

31%. Confiar en información no confiable
15%. Buffer Overflows (desbordamiento de un programa)
7%. Configuraciones inseguras por defecto
5%. Protocolos con fallos
4%. Comportamientos inseguros heredados
2%. Programas difíciles de configurar para que sean seguros
2%. Ambigüedad en la definición del protocolo
2%. Errores lógicos
 
 

<<