Bruce Schneier, gurú de seguretat: «La gent és massa paranoica»
Bruce Schneier és una llegenda viva de la seguretat informàtica. Nord-americà, fundador de l'empresa Counterpane, amb clients de la llista Fortune, barreja el vestit de negocis amb una barba i cua que li donen un toc informal, mostrant al "gurú hacker" que és. Des de fa anys, publica un butlletí mensual gratuït, "Crypto-Gram", amb centenars de milers de subscriptors. Les seves idees sobre
seguretat, que ha plasmat en diversos llibres, són respectades en tots els cercles i omple les sales a vessar en les seves freqüents conferències.
P: Cal ser paranoic per a treballar en seguretat?
R: No ho sóc pas per a res. Al contrari, crec que tothom és massa paranoic, quan la majoria de la gent és
honesta. Avui he agafat un taxi, conduït per una persona desconeguda, que m'ha dut a un lloc. He anat a menjar a un restaurant que porten persones que no conec de res. És d'allò més normal. Amb la paranoia, l'única cosa que fem és prendre decisions estúpides, com després de l'onze de setembre als Estats Units.
P: Quan et connectes a Internet, penses el mateix?
R: Si. Accedeixo a Internet des de l'hotel o l'aeroport i mai em preocupo.
P: Quines mesures de seguretat prens?
R: El servidor de correu fa la detecció de virus i "spam" i l'única cosa que faig jo és estar al dia de les actualitzacions del sistema operatiu: saber què està passant és una gran mesura de seguretat. Desgraciadament, és quan no
entens bé els riscos que has de prendre precaucions.
P: L'usuari estàndard sap de seguretat?
R: No en té ni idea. Si les mesures de seguretat no són automàtiques, ni s'actualitzen automàticament, senzillament
no funcionen, perquè l'usuari no sap ni fa res.
P: Algú ha entrat alguna vegada al teu PC?
R: Estic bastant segur que no. La gent que intenta entrar als ordinadors busca objectius fàcils. De totes maneres, sóc dels que pensa que no cal posar barreres innecessàries. Per exemple, la xarxa sense fils que tinc a casa és oberta, perquè m'agrada pensar que els meus veïns poden utilitzar-la. El que sí protegeixo és el meu ordinador. Tinc el sistema operatiu actualitzat i aplico algunes mesures bàsiques i lògiques, com no obrir els fitxers adjunts dels missatges que rebo. Amb això n'hi ha suficient.
P: Per què hi ha tan poca gent que xifra el seu correu electrònic?
R: Perquè la gent no utilitza una cosa que creu que no necessita. No hi ha una creença generalitzada que el correu
electrònic sigui insegur. Jo no faig ús del xifrat i no tinc cap preocupació especial. Si algú vol llegir el meu correu, no es preocuparà en capturar-lo mentre viatja, anirà a l'ordinador del destinatari i llegirà la còpia desxifrada.
P: Les empreses haurien de contractar més personal de seguretat?
R: No. Les empreses han de focalitzar-se en el seu negoci i deixar el treball molt especialitzat a empreses que es dediquin a això. És el mateix cas de la seguretat física: gairebé cap companyia contracta el personal de seguretat que hi ha a l'entrada de l'edifici, sinó que delega aquesta funció en una empresa especialitzada.
P: A que es dedica Counterpane?
R: A la monitorització de la seguretat de les xarxes dels nostres clients. En Europa, el nostre "partner" és Getronics i tenim el centre d'operacions a Brussel·les.
P: Estàs també en la junta de l'associació Electronic Privacy Information Center. Com es casen la privadesa i la monitorització?
R: Només monitoritzem els dispositius de seguretat, com els tallafocs, els sistemes de detecció d'intrusos, etc. No
espiem les accions dels usuaris sinó els esdeveniments de seguretat que es produeixen a les xarxes. No fem res que
pugui afectar a la privadesa i, si ens ho demanessin, la resposta seria no.
P: Per quina raó Internet no és segura?
R: Hi ha moltes raons, començant perquè no sabem com dissenyar productes segurs, ni hi ha un autèntic incentiu
financer per a fer-ho. A més, a molta gent no li preocupa la seguretat.
P: Com ha evolucionat la seguretat d'Internet en els últims anys?
R: Cada any va a pitjor i estic convençut que les coses empitjoraran més. No crec que millorem, almenys a curt
termini.
P: Què ha estat el millor i el pitjor d'aquest any 2004?
R: El millor ha estat la difusió de mesures efectives per a lluitar contra l'"spam". El negatiu és l'increment
continu del "phishing" (missatges que intenten convèncer a l'usuari perquè faciliti informació sensible). És un problema que encara està en la seva fase embrionària i donarà molts mals de cap en els propers anys, més dels que podem imaginar.
P: Per què?
R: Fins a ara, els usuaris normals no han perdut diners de forma massiva a Internet. Amb els atacs "phishing" és
possible que molts, que fins a ara no s'havien vist afectats, perdin diners. I això pot provocar que la gent deixi d'utilitzar Internet.
P: Microsoft ha dit que no considera un problema de seguretat que el seu navegador sigui sensible a atacs
"phishing"...
R: És Microsoft: per a ells, els problemes de seguretat són problemes de relacions públiques. Com més puguem evitar
utilitzar productes de Microsoft, més segurs estarem. Els fabricants de programes haurien d'aprendre a tractar als usuaris com a éssers intel·ligents i, quan parlen de qüestions de seguretat, dir-nos la veritat, no els contes de fades que de vegades expliquen.
P: Quin és el millor consell de seguretat que se li pot donar a algú?
R: Que faci còpies de seguretat, són la més fàcil i efectiva mesura de seguretat. De vegades, tenir una còpia de les dades més importants és la nostra salvació.
Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
|
