16:19 12/05/04
 

EL GURÚ DE SEGURIDAD STEVE BELLOVIN PIDE LEYES QUE CASTIGUEN A LOS FABRICANTES DE PROGRAMAS DEFECTUOSOS
 

Mercè Molist/Xavier Caballé
Steven Bellovin lleva veinte años trabajando en los laboratorios de la compañía telefónica AT&T. Activo miembro de la Internet Engineering Task Force, co-fundador del sistema de noticias Usenet en sus años de estudiante, hace un década escribía, junto con Bill Cheswick, "Firewalls and Internet Security: Repelling the Wily Hacker", hoy libro de referencia para los expertos en seguridad. Bellovin es también asesor del gobierno de Estados Unidos.

Su frase preferida es "no tengo una solución mágica", aunque sea de aquellas personas con capacidad para identificar los auténticos problemas. No usa Windows ni Linux sinó NetBSD y dice: "Uno de los principales problemas es que prácticamente todo el mundo está utilizando el mismo "software". Si Microsoft comete un error, todos lo sufren. Necesitamos biodiversidad en los ordenadores. Además, Microsoft no hace las cosas tan bien como podría, lo que llega a afectar a los que no utilizamos sus productos, como cuando un gusano colapsa la red".

El gurú no cree que la culpa sea de los usuarios: "Se publican constantemente actualizaciones y parches, hasta el punto que mucha gente no puede seguir el ritmo. Además, los ordenadores son cada vez más complicados, es preciso instalar cosas continuamente y usamos "software" que no controlamos. Una lección que aprendí hace 35 años es no instalar nunca la versión .0 de cualquier producto. Es preciso esperar un tiempo, que se descubran los problemas que a buen seguro tiene".

Bellovin aboga por "una legislación que fije la responsabilidad de los fabricantes: si hago coches y la gente sufre accidentes por un error mío, las leyes dicen que soy responsable. En la industria del "software", si los clientes de un banco pierden sus ahorros por culpa de un producto informático, el fabricante no tiene responsabilidad. Las empresas dicen que hacer más seguros sus programas no es rentable. Esta percepción cambiaría si tuvieran responsabilidad sobre las incidencias".

El experto sonríe cuando se le pregunta por el Tratado Internacional de Cibercrimen, que entra en vigor en julio: "Es bueno que haya estipulaciones generales, pero la existencia de demasiadas regulaciones y la posibilidad de vigilar indiscriminadamente la actividad de la gente entran en conflicto directo con nuestros derechos. Es una legislación mejorable, da demasiado poder a las fuerzas del orden y es un error que prohíba la posesión de herramientas de hacking. El profesional de la seguridad necesita conocer qué se está ejecutando en su red y no tiene otro método que estas herramientas".

Bellovin tampoco espera milagros de las leyes para el correo basura o de las voces que proponen autenticar los mensajes para evitar los no solicitados: "Es totalmente falso que esto solucione el problema. Tanto tú como un "spammer" podéis enviarme un mensaje firmado digitalmente. Si nunca nos hemos comunicado antes, ¿como sé que tu correo es legítimo? También dicen que podríamos permitir sólo el correo procedente de los principales proveedores, pero ¿quién decide que éste es un proveedor y éste no? Por otra parte, algunos permiten a los "spammers" utilizar sus servicios, ya que son clientes que pagan".

Según el experto, un alto porcentaje de correo basura viene de ordenadores personales atacados: "Los "spammers" y los hackers han formado una alianza, los hackers reciben una compensación económica por introducirse en las máquinas y convertirlas en sistemas de envío de "spam". Si, como proponen, el proveedor cobra al usuario doméstico por enviar correo y le han "hackeado" el ordenador, acabará pagando él. Los virus son el mismo problema: la principal razón de los gusanos que abren puertas secretas es enviar "spam" o instalar "spyware". Esto sí necesita legislación".

En cuanto al aumento de hackers mercenarios, Bellovin afirma: "La mayoría del hacking que se realiza en la actualidad tiene objetivos criminales. Actualmente, tenemos un escándalo en Estados Unidos porque miembros de un partido político han atacado los sistemas de otro para espiarlo. Hace un año, una de las principales universidades espiaba las peticiones de candidatos a otra universidad. Las empresas y la policía no quieren comentar estos problemas. És más, sólo un 3% de las intrusiones son detectadas, pero no me sorprendería que en los próximos meses viésemos más noticias como éstas".
 

EL BIT INSEGURO

Los protocolos de Internet se describen en los documentos llamados Request For Comments (RFC). El 1 de abril de 2003, día de los inocentes en Estados Unidos, Steven Bellovin publicaba un RFC donde lanzaba la idea del "bit de seguridad": que algunos bits del tráfico malévolo llevasen una marca especial para que los cortafuegos los pudiesen detectar. La inocentada fue largamente comentada y, dice, "todavía hoy recibo mensajes hablando de ello".
 

Steve Bellovin
http://www.research.att.com/~smb
 

Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.
 
 
 

<<