|
ELS EXPERTS PREDIUEN QUE LA SEGURETAT A INTERNET ANIRÀ A PITJOR I PROPOSEN CENTRAR-SE EN LA SUPERVIVÈNCIA
Mercè Molist
http://ww2.grn.es/merce/
Programes plens d'errors, administradors de sistemes incompetents, xarxes tan descentralitzades que ja no se sap qui és l'intrús i qui l'usuari... Richard Pethia, director del nord-americà Centre de Coordinació de Resposta a Emergències Informàtiques (CERT/CC), va pintar un negre futur, en dues xerrades realitzades a Madrid i Barcelona. L'aposta del seu equip és canviar la noció de seguretat per la de supervivència.
Com fer que les coses segueixin funcionant sota un atac? Aquesta és la gran preocupació del CERT/CC, el més veterà centre de seguretat informàtica, amb seu a la universitat de Carnegie Mellon. El seu director, Richard Pethia, va proposar per a això entrenar-se en la supervivència, que va definir com "l'habilitat d'un sistema per a portar a terme la seva missió davant la presència d'atacs, fallades o accidents, sabent que cap component és immune. La missió és el que ha de sobreviure, no un element individual, ni tan sols el propi sistema".
Sense pronunciar ni una vegada la paraula 'hacker' i molts '11 de setembre', Pethia va dibuixar el panorama: "Cada vegada som més dependents de sistemes distribuïts a gran escala, per a defensa, energia, telecomunicacions, finances. Els intrusos, bé preparats i organitzats, estan atacant amb més freqüència i impacte, usant eines fàcils i dissenyades per a grans atacs. Internet és el seu blanc perfecte, de baix risc i difícil rastreig".
El director del CERT/CC va aportar estadístiques on es mostra com, a partir de 1998 , la corba d'incidents de seguretat es converteix en una línia vertical: "Quan tinguem les dades del 2002 veurem que s'han doblat i més, especialment les Denegacions de Servei (bombardeig contra ordinadors). I la cosa anirà a pitjor, pel creixement explosiu d'Internet i perquè ningú sap a on han anat els administradors de sistemes competents. Amb l'auge del comerç electrònic, la seguretat resta en un segon pla, a favor dels preus, presentació, etc", va afirmar Pethia.
Al costat de la major complexitat i usabilitat dels programes informàtics, Richard Pethia va destacar el poc interès dels fabricants per la seguretat: "Només en el 2001 vam avisar de més de 2.500 vulnerabilitats. L'arrel dels nostres problemes és la poca qualitat dels programes. Esperem que els venedors escoltin la pressió i els facin més segurs". A més, va demanar "incentivar econòmicament als ISP per tal què millorin la seva protecció, per exemple a l'hora de filtrar atacs de Denegació se Servei".
Pethia va mostrar un mapa de la Internet nord-americana dels anys 80 , amb pocs punts units entre si, i un altre de recent, fet un caos, un cabdell còsmic de línies i branques. Per a sobreviure allí, va proposar un canvi de mentalitat: "De les coses fixes i completes a les desconegudes, sense punt final ni perímetre, canviant contínuament. De jerarquies a xarxes interdependents. De successos predibles a successos asíncrons. D'un punt simple de responsabilitat a la responsabilitat compartida, de vegades desconeguda. De la seguretat com una activitat més a la supervivència com essencial per al negoci".
CERT/CC
http://www.cert.org
Vulnerabilitats més freqüents
31% | Refiar-se de informació que no és de confiança | 15% | Desbordaments de memòria intermèdia | 7% | Configuracions per defecte no segures | 5% | Protocols amb errors | 4% | Comportaments insegurs heretats | 2% | Programes difícils de configurar per tal que siguin segurs | 2% | Ambigüitat en la definició del protocol | 2% | Errors lògics |
|
|
