¡No seas malo!



RSS

Hace unos días leí un artículo en el que el autor hacía cierta mofa de los responsables y técnicos de seguridad lógica de Sony, tal vez, desoyendo las dos normas fundamentales de la seguridad. Primera, hablar entre poco y nada de tu propia seguridad y segunda, jamás hacer chistes de las brechas de seguridad ajenas.

Es evidente que la seguridad de Sony es manifiestamente mejorable -hasta ahí todos de acuerdo- pero en el último año ha habido algún que otro ataque con éxito y en ocasiones ha sido a empresas a las que se les presupone elevadísimas medidas de protección. Ahí van algunos:

  • Nintendo
  • el Senado de EEUU
  • la televisión pública de EEUU
  • el Ministerio de Economía francés
  • el Ministerio de Defensa de Corea del Sur
  • el Ministerio de Cultura español
  • la práctica totalidad de las webs oficiales de Turquía
  • un buen número de webs oficiales de Jordania, Marruecos, Egipto y Bahréin
  • Mutualidad General de la Abogacía
  • la Policía española
  • InfraGard (estrecho colaborador del FBI)
  • Lockheed Martin Corp (uno de los mayores proveedores mundiales de tecnología militar)
  • Google China
  • Citigroup
  • Instituto Nacional de Tecnologías de la Información (INTECO)
  • RSA y su excepcional tecnología SecureID
  • Acer Europa
  • PayPal
  • Visa
  • MasterCard
  • Comodo (y de forma indirecta Google, Microsoft, Mozilla, Skype y Yahoo!)
  • Epsilon (uno de los mayores gestores de emails publicitarios y listas de distribución)
  • Wordpress
  • Real Federación Española de Fútbol
  • Sociedad General de Autores y Editores
  • ...

Y esto no es probablemente sino la cresta del iceberg ya que hay dos factores a considerar. El primero es que solo son públicos aquellos ataques en los que el atacante busca notoriedad. Esto incluye los ataques con motivación socio-política pero excluye los que tienen motivación económica que, con mucho, son los más frecuentes y peligrosos y en los que el atacante, sobre todo, busca sigilo.

El segundo es que solo obtienen notoriedad los ataques en los que la víctima tiene interés en que se haga público. Esto deja fuera de la prensa los ataques a la banca online, aseguradoras y, en general, las empresas de e-commerce  que basan en Internet una parte importante de su negocio. Para ellos la confianza (diferenciado de la seguridad) es vital y por eso en ocasiones prefieren asumir pérdidas a dar notoriedad a los ataques.

¿De verdad son los técnicos de Sony los únicos torpes? Más bien da la sensación de que los malos se pasean por donde quieren.


Aumentan los ataques de motivación política

Casi todas las empresas de seguridad coinciden en que los ataques que de verdad son problemáticos solo tienen un objetivo: el dinero. Y probablemente por alguna de las dos razones anteriores, ninguno de esos ataques aparece en la prensa. Los que si aparecen últimamente de forma constante son ataques de denegación de servicio, fundamentalmente por motivación socio-política. Y lo más divertido de este tipo de ataques es que es discutible que se puedan considerar ataques.

Seguramente, no hay ningún centro comercial del mundo que considere la avalancha de personas del primer día de rebajas como un ataque a sus instalaciones. Y bastantes -no todos- de los ataques de denegación de servicio no difieren mucho de eso. Se basan simplemente en un número desproporcionado de personas accediendo simultáneamente a un sitio web.

Realizar un ataque de este tipo es tan sencillo como barato. No hace falta nada en especial ni ninguna tecnología híper-avanzada; solo hay que poner de acuerdo a un número suficiente de personas. A su vez, defenderse de ellos es tan simple como caro ya que tampoco hace falta nada en especial, solo dotarse de infraestructura cien o mil veces más potente de la necesaria.

Pero nadie diseña las autopistas para las 'operaciones salida' y por ello, salvo que las cosas mejoren mucho, los atacantes tienen y parece que seguirán teniendo las de ganar.


Si te portas mal te ataco

De esta forma, fenómenos de Internet como Anonymous se están empezando a convertir en jueces completamente al margen del sistema tradicional. Detectan injusticias, evalúan la respuesta y atacan.

Una de las primeras versiones de este tipo de ataques se realizó contra SCO a principios de febrero de 2004. En este caso se utilizó un virus -MyDoom- para conseguir una masa crítica que garantizase el éxito del ataque. Y pese a que estaba anunciado (se conocía con días de antelación la fecha de inicio y la fecha de finalización) la web de SCO quedó fuera de servicio durante los diez días que duró la ofensiva.

La diferencia es que ahora ya no hace falta un virus para conseguir masa crítica. Hay un colectivo suficientemente grande de personas dispuestas a colaborar en el ataque. Hay masa crítica de descontentos y tienen en las redes sociales las herramientas de asociación y coordinación necesarias.

¿Es justo que una organización supra-nacional, supra-social, supra-económica, supra-cultural,... supra-todo-lo-suprable, se arrogue la función de juez y decida lo que es y lo que no es ético? ¿Es justo que dicte sentencia y fije la condena?


Habrá quien lo vea como una forma de luchar contra el Establishment, como una especie de brazo tecnológico de los Indignados del 15M. Y habrá quien lo vea desde la óptica opuesta. Todo es cuestión del color del cristal con que se mire pero lo que es seguro es que los grandes organismos y corporaciones tienen ya un aspecto más a considerar en sus procesos de decisión: ser malo o incluso, no siéndolo, tomar decisiones impopulares puede tener consecuencias inmediatas en la seguridad de los sistemas.



RSS

3 comentarios

  1. Jejeje, estoy de acuerdo con todo esto y me recuerda un artículo que escribiste en su día en el que decías que para que una empresa estuviese totalmente segura necesitaba "infinito" dinero :-)

    Hoy en día es lo que se ve, solo las empresas que quieren publican esta información.
    Si queremos saber realmente que pasa día a día, solo tenemos que pasar por la web zone-h.org en la que a todas horas se muestran intrusiones a paginas web.

    Existen ataques muy elaborados y ataques sencillos, ademas, cuanto más odio o imagen cree una compañia, más posibilidades tiene de ser atacada.

    Para los ataques de denegación de servicio, hay muchísimas soluciones que se pueden utilizar. Si hablamos de que dispones de una web que puede tener muchas visitas ... pásate a Akamai, que para algo está ;-)

    Al final podemos sacar algo en claro, Más seguridad = más dinero, y está claro que hay empresas que se preocupan más por otras cosas antes que por la seguridad.

    Como se ha dicho más de una vez ... Cuanto vale la mala imagen de una empresa ???

    Un saludo

    ResponderEliminar
  2. Lo relevante de todo esto es que probablemente por primera vez en la historia de la humanidad la sociedad civil tiene la capacidad de organizarse al margen de los conductos oficiales. El colectivo de Anonymous no puede vincularse con ningún perfil económico, ni educativo, ni social, ni de edad, ni de sexo, ni de raza, ni de religión. Solo les une Internet y su afán de hacer justicia, de la de verdad.

    por ejemplo, es ofensivo ver a las entidades financieras sacando pecho de unos beneficios desmesurados gracias al rescate público. Cosas como esa y otras muchas son tal vez no ilegales pero si inmorales. Jeje, a ver cuantas empresas refrescan ahora sus folletines de responsabilidad social corporativa.
    iker

    ResponderEliminar
  3. Y por si no había suficientes, la web de la CIA (www.cia.gov) pasa a engrosar la lista de webs hackeadas desde esta misma noche.

    ResponderEliminar


Los contenidos de Tons of IT están sujetos a licencia Creative Commons Reconocimiento 3.0 salvo donde se indique lo contrario.