[HACK] de seguridad a supervivencia

[merce at grn.es]

(ya que esto no parece interesar al ciberpais, quizas a alguien si :)



15:53 05/11/02


LOS  EXPERTOS  AUGURAN  QUE  LA  SEGURIDAD  EN  INTERNET  IRÁ A PEOR Y
PROPONEN CENTRARSE EN LA SUPERVIVENCIA


Mercè Molist
Programas llenos de fallos, administradores de sistemas incompetentes,
redes  tan  descentralizadas  que  ya no se sabe quién es el intruso y
quién el usuario... Richard Pethia, director del norteamericano Centro
de  Coordinación  de  Respuesta  a Emergencias Informáticas (CERT/CC),
pintó  un  negro  futuro,  en  dos  charlas  realizadas  en  Madrid  y
Barcelona.  La  apuesta de su equipo es cambiar la noción de seguridad
por la de supervivencia.

¿Cómo hacer que las cosas sigan funcionando bajo un ataque? Ésta es la
gran  preocupación  del  CERT/CC,  el más veterano centro de seguridad
internáutica,   basado  en  la  universidad  de  Carnegie  Mellon.  Su
director,   Richard   Pethia,  propuso  para  ello  entrenarse  en  la
supervivencia,  que  definió  como  "la  habilidad  de un sistema para
llevar  a  cabo  su  misión  ante  la  presencia  de ataques, fallos o
accidentes,  sabiendo que ningún componente es inmune. La misión es lo
que  debe sobrevivir, no un elemento individual, ni tan sólo el propio
sistema".

Sin  pronunciar  ni  una  vez  la  palabra  'hacker'  y  muchas '11 de
septiembre',   Pethia   dibujó   el  panorama:  "Cada  vez  somos  más
dependientes  de  sistemas  distribuidos  a gran escala, para defensa,
energía, telecomunicaciones, finanzas. Los intrusos, bien preparados y
organizados,  están  atacando  con  más  frecuencia  e impacto, usando
herramientas  fáciles y diseñadas para grandes ataques. Internet es su
blanco perfecto, de bajo riesgo y difícil rastreo".

El  director  del CERT/CC aportó estadísticas donde se muestra como, a
partir  de  1998,  la curva de incidentes de seguridad se convierte en
una línea vertical: "Cuando tengamos los datos del 2002 veremos que se
han   doblado  y  más,  especialmente  las  Denegaciones  de  Servicio
(bombardeo  contra  ordenadores).  Y  la  cosa  irá  a  peor,  por  el
crecimiento  explosivo de Internet y porque nadie sabe a dónde han ido
los  administradores de sistemas competentes. Con el auge del comercio
electrónico,  la  seguridad  queda en un segundo plano, a favor de los
precios, presentación, etc", afirmó Pethia.

Junto   a   la   mayor  complejidad  y  usabilidad  de  los  programas
informáticos,   Richard   Pethia   destacó  el  poco  interés  de  los
fabricantes  por  la  seguridad:  "Sólo  en el 2001 avisamos de más de
2.500  vulnerabilidades.  La  raíz  de  nuestros  problemas es la poca
calidad  de  los  programas.  Esperemos  que los vendedores sientan la
presión   y   los   hagan  más  seguros".  Además,  pidió  "incentivar
económicamente a los ISP para que mejoren su protección, por ejemplo a
la hora de filtrar ataques de Denegación se Servicio".

Pethia  mostró  un  mapa de la Internet estadounidense de los años 80,
con  pocos  puntos  unidos  entre  sí, y otro reciente, hecho un caos,
ovillo  cósmico  de  líneas  y  ramas. Para sobrevivir ahí, propuso un
cambio   de  mentalidad:  "De  las  cosas  fijas  y  completas  a  las
desconocidas,  sin  punto final ni perímetro, cambiando contínuamente.
De  jerarquías  a  redes  interdependientes.  De sucesos predecibles a
sucesos  asincrónicos.  De  un  punto  simple  de responsabilidad a la
responsabilidad  compartida, a veces desconocida. De la seguridad como
una actividad más a la supervivencia como esencial para el negocio".


CERT/CC
http://www.cert.org



Vulnerabilidades más frecuentes:

31%. Confiar en información no confiable
15%. Buffer Overflows
7%. Configuraciones inseguras por defecto
5%. Protocolos con fallos
4%. Comportamientos inseguros heredados
2%. Programas difíciles de configurar para que sean seguros
2%. Ambigüedad en la definición del protocolo
2%. Errores lógicos