16:58 06/08/02
ASESORES DE BUSH ANIMAN A LOS HACKERS A BUSCAR AGUJEROS EN PROGRAMAS Y PUBLICITARLOS CON DISCRECIÓN
M.M.
Richard Shaeffer, director de la National Security Agency norteamericana, y el llamado Zar de la Ciberseguridad, Richard Clarke, coincidieron la semana pasada en Las Vegas, durante las reuniones de hackers Black Hat y DefCon, para mostrar su preocupación por la poca seguridad de los programas informáticos y la necesidad de descubrir sus fallos, así como hacerlos públicos de forma "discreta".Richard Clarke fue el primero en hablar, durante la reunión Black Hat, que precede a la legendaria y más festiva DefCon, este año en su décimo aniversario. Clarke calificó como "terrible" el nivel de seguridad de los programas informáticos actuales y pidió a los expertos que no hagan públicos los fallos hasta dar tiempo a las compañías a crear "parches" para taparlos. Su discurso se enmarcaba en una discusión generalizada dentro del mundo de la seguridad informática, sobre la conveniencia o no de dar a conocer los agujeros en programas.
Clarke se mostró a favor e incluso animó a los hackers a buscar estos fallos, ya que reconoció que la mayoría se descubren por la intermediación de terceros y no por la propia compañía que ha creado el programa: "Tenemos la obligación de encontrar las vulnerabilidades", dijo. Pero, a la vez, avisó a la audiencia de su responsabilidad a la hora de hacer públicos los agujeros, primero contactando con la empresa y después con el gobierno, si aquella no responde.
El asesor presidencial recordó también que algunas empresas denuncian a quien les avisa de un fallo, situación que calificó de "muy desagradable cuando el hacker actúa de buena fe. Necesitamos protecciones legales para estos casos". El discurso de Richard Shaeffer, director de la National Security Agency, tres días después, en la reunión DefCon, siguió el mismo estilo, aunque contó con más audiencia: 5.000 personas, la mayoría acostumbradas a la visita anual de representantes del gobierno para llevarlos a su causa e incluso contratarles.
Entre las ponencias presentadas, destacó la de Aaron Higbee, de Foundstone, y Chris Davis, de RedSiren Technologies, durante el congreso Black Hat, el primero en celebrarse y el más serio. Higbee y Daves demostraron cómo es posible atacar máquinas con una simple consola de videojuegos, la Sega Dreamcast, usando un programa especial creado por ellos mismos, bajo el sistema operativo GNU/Linux. Se introdujeron en un red por una entrada que no suele utilizarse y traspasaron datos de un sitio a otro, ante la admiración de los asistentes.
Tres días después, en la DefCon, empezaba la auténtica fiesta, con todo tipo de conferencias a cargo de grupos y empresas de seguridad norteamericanas y europeas y múltiples concursos, como el tradicional "Captura la bandera", donde se enfrentan diversos equipos para introducirse en los ordenadores de sus oponentes. Hubo también demostraciones de la inseguridad del sistema operativo Mac OS X y de la plataforma .NET de Microsoft.Las recientes leyes en Estados Unidos que comparan a los hackers con terroristas y las intrusiones en la privacidad a cargo de corporaciones y gobiernos impregnaron el ambiente, con el recuerdo aún vivo del arresto, el año pasado, después de haber asistido a la DefCon, de Dmitry Sklyarov, por descubrir agujeros en un programa de Adobe. Un asistente afirmaba a la revista "Wired": "El año pasado estuve aquí, vendiendo cd's con herramientas de 'hacking'. Este año no vendo más que camisetas. No quiero arriesgarme a pasar veinte años de mi vida en un Campo para Chicos Malos del Tío Sam".
DefCon
http://www.defcon.org
Black Hat
http://www.blackhat.com