[HACK] Entrevista Steve Bellovin

Thu May 20 12:31:47 CEST 2004

16:19 12/05/04

EL GURÚ DE SEGURIDAD STEVE BELLOVIN PIDE LEYES QUE CASTIGUEN
A LOS FABRICANTES DE PROGRAMAS DEFECTUOSOS

Mercè Molist/Xavier Caballé
Steven   Bellovin   lleva  veinte  años  trabajando  en  los
laboratorios  de la compañía telefónica AT&T. Activo miembro
de  la  Internet  Engineering  Task  Force,  co-fundador del
sistema  de  noticias Usenet en sus años de estudiante, hace
un  década escribía, junto con Bill Cheswick, "Firewalls and
Internet  Security: Repelling the Wily Hacker", hoy libro de
referencia  para  los  expertos  en  seguridad.  Bellovin es
también asesor del gobierno de Estados Unidos.

Su frase preferida es "no tengo una solución mágica", aunque
sea  de aquellas personas con capacidad para identificar los
auténticos  problemas. No usa Windows ni Linux sinó NetBSD y
dice: "Uno de los principales problemas es que prácticamente
todo  el  mundo  está  utilizando  el  mismo  "software". Si
Microsoft  comete  un  error,  todos  lo sufren. Necesitamos
biodiversidad  en los ordenadores. Además, Microsoft no hace
las cosas tan bien como podría, lo que llega a afectar a los
que  no  utilizamos  sus  productos,  como  cuando un gusano
colapsa la red".

El  gurú  no  cree  que  la  culpa  sea de los usuarios: "Se
publican  constantemente actualizaciones y parches, hasta el
punto  que mucha gente no puede seguir el ritmo. Además, los
ordenadores   son  cada  vez  más  complicados,  es  preciso
instalar  cosas  continuamente  y  usamos  "software" que no
controlamos.  Una  lección  que  aprendí  hace 35 años es no
instalar  nunca  la  versión  .0  de  cualquier producto. Es
preciso  esperar  un  tiempo, que se descubran los problemas
que a buen seguro tiene".

Bellovin   aboga   por   "una   legislación   que   fije  la
responsabilidad  de  los  fabricantes:  si  hago coches y la
gente sufre accidentes por un error mío, las leyes dicen que
soy  responsable.  En  la  industria  del "software", si los
clientes  de  un  banco  pierden sus ahorros por culpa de un
producto     informático,    el    fabricante    no    tiene
responsabilidad.  Las  empresas  dicen que hacer más seguros
sus  programas  no es rentable. Esta percepción cambiaría si
tuvieran responsabilidad sobre las incidencias".

El  experto  sonríe  cuando  se  le  pregunta por el Tratado
Internacional  de  Cibercrimen, que entra en vigor en julio:
"Es   bueno  que  haya  estipulaciones  generales,  pero  la
existencia  de  demasiadas  regulaciones y la posibilidad de
vigilar  indiscriminadamente la actividad de la gente entran
en   conflicto   directo   con  nuestros  derechos.  Es  una
legislación  mejorable, da demasiado poder a las fuerzas del
orden  y es un error que prohíba la posesión de herramientas
de  hacking. El profesional de la seguridad necesita conocer
qué  se está ejecutando en su red y no tiene otro método que
estas herramientas".

Bellovin tampoco espera milagros de las leyes para el correo
basura  o  de las voces que proponen autenticar los mensajes
para  evitar  los  no  solicitados: "Es totalmente falso que
esto  solucione  el  problema.  Tanto  tú  como un "spammer"
podéis  enviarme  un  mensaje firmado digitalmente. Si nunca
nos  hemos  comunicado  antes,  ¿como  sé  que  tu correo es
legítimo?  También  dicen  que  podríamos  permitir  sólo el
correo  procedente  de  los  principales  proveedores,  pero
¿quién  decide  que éste es un proveedor y éste no? Por otra
parte,  algunos  permiten  a  los  "spammers"  utilizar  sus
servicios, ya que son clientes que pagan".

Según  el experto, un alto porcentaje de correo basura viene
de  ordenadores  personales  atacados: "Los "spammers" y los
hackers  han  formado  una  alianza, los hackers reciben una
compensación  económica  por  introducirse en las máquinas y
convertirlas  en  sistemas  de  envío  de  "spam".  Si, como
proponen, el proveedor cobra al usuario doméstico por enviar
correo y le han "hackeado" el ordenador, acabará pagando él.
Los  virus  son el mismo problema: la principal razón de los
gusanos  que  abren  puertas  secretas  es  enviar  "spam" o
instalar "spyware". Esto sí necesita legislación".

En  cuanto  al  aumento  de  hackers  mercenarios,  Bellovin
afirma:  "La  mayoría  del  hacking  que  se  realiza  en la
actualidad  tiene objetivos criminales. Actualmente, tenemos
un escándalo en Estados Unidos porque miembros de un partido
político  han  atacado  los  sistemas de otro para espiarlo.
Hace  un  año,  una de las principales universidades espiaba
las   peticiones  de  candidatos  a  otra  universidad.  Las
empresas  y  la policía no quieren comentar estos problemas.
És  más,  sólo un 3% de las intrusiones son detectadas, pero
no  me  sorprendería  que en los próximos meses viésemos más
noticias como éstas".

EL BIT INSEGURO

Los  protocolos  de  Internet se describen en los documentos
llamados  Request For Comments (RFC). El 1 de abril de 2003,
día  de  los  inocentes  en  Estados Unidos, Steven Bellovin
publicaba   un  RFC  donde  lanzaba  la  idea  del  "bit  de
seguridad":  que  algunos bits del tráfico malévolo llevasen
una  marca  especial  para  que los cortafuegos los pudiesen
detectar.  La  inocentada  fue largamente comentada y, dice,
"todavía hoy recibo mensajes hablando de ello".

Steve Bellovin
http://www.research.att.com/~smb

Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim  copying,  translation  and  distribution  of  this
entire  article  is  permitted  in any medium, provided this
notice is preserved.