Por Alejandro Hevia, director CLCERT, profesor del Depto. de Ciencias de la Computación, FCFM, Universidad de Chile.
Es probable que cualquier que haya usado un computador haya escuchado hablar de “actualizaciones de seguridad” o “parches”. Para muchos, un concepto extraño: ¡cómo puede un computador recién comprado ya necesitar “parches”! En la columna de hoy, quiero discutir el intrincado proceso que da pie a dichos parches, concretamente el controvertido mundo detrás del proceso de “mejorar la seguridad del software”.
Para funcionar correctamente, un programa no sólo tiene que hacer lo que dice (calcular correctamente las fórmulas de una planilla o permitir escribir un documento) sino que no puede fallar o “caerse”. Si no opera correctamente, decimos que tiene un error. Una vulnerabilidad es un tipo especial de error que permite a alguien externo (un hacker malicioso) cambiar la ejecución normal del programa permitiéndole ver mi información. Por ejemplo, supongamos que para llevar nuestras finanzas compramos un software contable, el cual entre otras cosas se conecta a Internet para saber el valor del dólar y la UF. Un error es que calcule mal el interés de mi cuenta de ahorro; una vulnerabilidad sería un error en la parte del programa que se conecta a Internet, tal que le permite a un hacker malicioso “confundir” a mi programa inyectándole información inesperada o maliciosa y posiblemente tomar control completo del software. De hecho, podría ocurrir sin darme cuenta. Y luego de eso, el programa parece calcular mis finanzas, cuando por detrás realmente hace lo que el hacker malicioso le pide, incluyendo recolectar contraseñas (de correo, de acceso, bancarias, etc.), números de cuentas y tarjetas, y cualquier otra información personal o comercial que sea usada en mi computador, inclusive mientras uso otros programas distintos. Claramente este tipo de errores son extremadamente serios, pues son literalmente la puerta de entrada para programas maliciosos (o “malware”) que se instalan en el computador, robando información y dejándome a merced de un tercero quien pudiera usarlo para guardar información ilícita (por ej. pornografía infantil) o como trampolín para atacar a otros computadores.
Hacer software sin vulnerabilidades históricamente ha sido muy difícil. Tanto grandes empresas como Microsoft u Oracle, que han invertido cientos de millones de dólares en el tema, como proyectos comunitarios masivos (GNU o “Linux”) con equipos de desarrolladores especializados en seguridad, aún sufren día a día con nuevas vulnerabilidades.
Pero, ¿cómo hace una empresa para solucionar las vulnerabilidades en su software? Primero debe encontrarlas. Por supuesto, hacen lo mejor posible para localizarlas y solucionarlas antes de vendernos el software, o eso dicen (es al menos sospechoso que el modelo actual de negocios se basa en vendernos “mejor” software del que nos vendieron antes pero sin garantizar ausencia de errores!). Sin embargo, el track record de la industria no es de lo mejor en este sentido. La experiencia dice que prácticamente todo software (de complejidad no trivial) tendrá vulnerabilidades al momento de ser vendido o “released”. Lo interesante se produce luego: aunque las empresas siguen trabajando en mejorar su software, las vulnerabilidades son ahora usualmente encontradas por uno de dos grupos: los mismos usuarios, en la forma de profesionales de seguridad, investigadores, o programadores, o por hackers maliciosos y criminales informáticos.
La diferencia obvia es que el primer grupo tiende a ser honesto y comunicar sus resultados a los fabricantes de software; el segundo, no tanto, y solo busca “explotar” las vulnerabilidades para su beneficio económico.
A primera vista, las consecuencias son obvias: si la vulnerabilidad es encontrada por un criminal, es explotada para crímenes y ataques, ergo pierden tanto el usuario del software como el fabricante (al menos, su reputación); si es encontrada por investigadores honestos, es comunicada a la empresa, quien la arregla y gana el usuario y la empresa. ¿O no? No tanto. Esto se debe a que la relación entre fabricantes de software y profesionales de seguridad ha sido históricamente compleja, sembrada de desconfianzas mutuas.
Por una parte, los fabricantes de software frecuentemente han reaccionado ignorando repetidamente los reportes de vulnerabilidades entregados por profesionales de seguridad, o bien, amenazando con demandas, incluso demandando a dichos profesionales si éstas eran reveladas, una versión moderna de “dispararle al mensajero” si este trae la mala noticia que su software es defectuoso. Mal que mal, asumir y arreglar las vulnerabilidades tiene costos significativos directos (resolver el error, encontrar el parche) e indirectos (reputación del fabricante). Sin embargo, no solucionar la vulnerabilidad es posiblemente aún peor pues si ésta ha sido encontrada por expertos honestos, es probable que hackers maliciosos la encuentren y exploten sin comunicarle a nadie, exponiendo a ataques a los usuarios honestos. Por otra parte, ante la indiferencia de los fabricantes muchos profesionales de seguridad guiados más bien por su frustración (o ego) han reaccionado hacia el otro extremo: revelando públicamente detalles de las vulnerabilidades e incluso “exploits” (programas ejecutables que usan la vulnerabilidad) argumentando que tal medida es necesaria para “forzar una respuesta” del fabricante. Es fácil imaginar lo difícil que es dialogar en estas condiciones: “He aquí detalles de la vulnerabilidad” dice el profesional de la seguridad. “No te creo, la vulnerabilidad que describes no existe” dice el fabricante. “¿Cómo que no? He aquí un ejemplo en la forma de exploit”. “¿Un exploit? ¡Esto dará pie a un ataque! tu conducta es ilegal te voy a demandar”. Lamentablemente, el resultado neto es que nadie gana, sólo pierden los usuarios del software.
Afortunadamente, la experiencia ha demostrado que es posible comunicar vulnerabilidades a los fabricantes de software en forma razonable. De hecho, esto ha convergido en, al menos, dos posibles procesos distintos. El primero, denominado full-disclosure, es una variante del proceso más liberal: “revelar los detalles públicamente – aunque no el exploit - y luego conversar con el fabricante”. Esto, en general, es visto como demasiado radical, pues pone al fabricante responsable en una posición muy difícil, mala publicidad y la tarea de resolver la vulnerabilidad contra el tiempo mientras sus usuarios arriesgan ser atacados. Una variante más conciliatoria es el “responsible disclosure” donde la vulnerabilidad es reportada directamente al fabricante del software pero se incluye como testigo a un tercero neutral confiable (un centro de seguridad establecido, de buena reputación) quien intercede para que ambas partes cumplan sus compromisos. En particular, el tercero neutral verifica que el profesional de seguridad no sólo entregue detalles de la vulnerabilidad exclusivamente al fabricante, sino que espere al menos un par de meses antes de hacerlos públicos; además, verifica que durante ese tiempo el fabricante efectivamente trabaje en resolver la vulnerabilidad en conjunto con quien reporta. Para muchos, responsible-disclosure es un buen compromiso para mejorar el software… o al menos para parchar el software ya existente.
El delicado balance logrado entre fabricantes de software y profesionales de seguridad nos muestra que obtener seguridad del software requiere procedimientos no necesariamente intuitivos. Quizás el más importante de ellos es evitar la tentación de dispararle al mensajero; acallar a quien responsablemente comunica una vulnerabilidad no sólo es a la larga inútil sino fundamentalmente contrario al proceso de “critica constructiva” que conduce hacia un software seguro.
El blog Bits, Ciencia y Sociedad de la sección de Tecnología de Terra es un espacio donde académicos del Departamento de Ciencias de la Computación de la Universidad de Chile hablarán de la Tecnología y su impacto político y social en nuestro país.
hola
saes amigo me han culpado x algo bn malo la vdd te qro preguntar cmo puedo hacer q no me detecten mi ubicacion de vivienda ni msn a traves de ssitemas satelitales q hay para buscar personas y mi ex amiga de mi pc envio correos con insultos y pretenden buscar qn fue y me culparan xq fue de mi pc si dan conmigo x algo q no hice usarn mi msn ya q active la contraseña me ayudas
GNU/LINUX SOFTWARE LIBRE.
Global
Información básica
Tipo:
Interés común - Autoayuda
Descripción: http://www.facebook.com/home.php?#/group.php?gid=38983598126
Santiago de Chile America del Sur.
La libertad que todos buscamos también esta en Internet y es por ello que elegimos Linux un sistema operativo alternativo a Window$ que todo lo cobra esta lleno de virus y no puedes modificar, la mayoría de los pc en el mundo que usan window$ son copias ilegales, para que sea legal tienes que pagar la patente a micro$oft.
Linux esta libre de virus es gratis y se puede modificar a tu antojo, es un poquito mas complejo pero día a día se hace mas accesible al usuario común, viene con todos los programas instalados por defecto, es de suma importancia educarnos en las nuevas tecnologías para que no nos sigan vendiendo cuentos.
Miles de programadores a través del mundo trabajan en forma gratuita para darle soporte a las diferentes distribuciones de Linux.
Linus Benedict Torvalds regalo al mundo el núcleo de este sistema operativo (nacido el 28 de diciembre de 1969 en Helsinki), es un ingeniero de software finlandés nieto de un viejo comunista, demostró al mundo que la avaricia y la arrogancia pueden quedar de lado cuando se piensa en el prójimo.
Hoy en día los servidores mas grandes del mundo prefieren Linux por su seguridad y solides, día a día en forma silenciosa gana miles de adeptos en la web.
Únete al mundo del software libre GNU/LINUX.
VIVA LA LIBERTAD.
Recomiendo algunas distribuciones que e estado probando en live cd, son mas fáciles de usar entre ellas están (Pc.Linux.Os. esta la uso yo), Famelix, Ubuntu, Mandriva, Debian, Elive es un poco mas complicado, Knoppix un cd fabuloso para probar en 3d. En router estan Pfsense Free Bsd y Brazil Firewall.
Yo les recomiendo por una cuestión de facilidad y seguridad “PcLinux,Os” una distro solida simple y rapida tiene kernel Debian lo mejor, todas están libres de virus son gratis, yo lo uso en mi Pc con los que trabajo y entrego wifi a mis clientes)..
Los invito a que se atrevan,busquen información a través de Google traten de educarse con los manuales que salen ahí, existe el live cd que puedes ponerlo en tu pc sin borrar nada de tu window$, para que de a poco se familiaricen con el.
En google pueden encontrar mas informacion en los foros.
Richard Stallman, antiguo hacker del mítico Laboratorio de IA del MIT, fundó el proyecto GNU en 1984 con el objeto de desarrollar un sistema operativo libre GNU. Una variante de GNU son los actuales sistemas basados en el kernel Linux, y que juntos constituyen el popular GNU/Linux. Stallman es presidente de la Free Software Foundation (FSF). Defendió que el software libre, además de ser un ahorro de gasto para los colegios, ayuda a los niños a aprender y descubrir el real funcionamiento de los computadores, mientras que el sistema privativo de Windows les indica que “el conocimiento que buscan es un secreto y está prohibido modificarlo y aprender de el”.
Esta mas que claro que muchas personas por ignorancia otras por la edad y otras por la falta de recursos no estan al tanto de lo importante que es cortar de raiz la utilizacion de Window$ ya que es un software del capitalismo y mas ahun espia de todos nuestros movimientos en la red y del mundo, es una herramienta mas al servicio de EEUU. por sobre todas las cosas.
Nuestros politicos lamentablemente poco o nada saben de esto, por una cosa de desface en el tiempo se quedaron en el pasado, llega a ser para la risa los ultimos convenios que nuestras autoridades con Microsoft de EEUU. Realmente hemos quedado como estupidos cuando ellos dijeron que nos regalaban un messenger y algunas otras herramientas que hasta un niño de 10 años saben que son gratis, es el colmo de los males que la mayoria de las personas no entienden que la gran mayoria de los servidores de las paginas Web mas famosas estan en EEUU.
Linux asume que eres una persona inteligente, por lo que esta mas enfocado a los usuarios que les gusta saber como trabajan las cosas y que serás capaz de investigar como lograr configurar o hacer algo, así, en caso de que rompas algo, seguramente serás lo suficientemente inteligente para arreglar lo que rompiste y que lograrás resolver las cosas antes de recibir un RTFM en algún foro.
Este asunto de los parches , las actualizaciones, son en realidad solo un negocio todos es un invento nada mas que eso al igual que los virus y antivirus solo es un gran negocio que beneficia a las mismas fabricas de software.
Me parece excelente comentar e informar sobre este tema, ocurre que no existe conciencia sobre tener aplicaciones vulnerables que podrian ocasionar graves problemas a nuestra empresa. Mas aun si ese potencial agujero de seguridad esta en manos del peor malware, el temido: Usuario Final.
Ahora, socialmente, todo es “vulnerable” y “parchable”, y como todo, deberemos aprender a proteger nuestra informaciòn digital.
Y como dicen, es mejor estar preparados antes que protegernos luego de un ataque. Asi que a parchar se ha dicho.
Alejandro… un gran saludo y felicitaciones por tu columna…
ahora bien, el saludo es mas personal, ya que me remonto a tu cuarto medio, el agno 91 en los ss.cc. y la ceremonia de los brigadieres… fui yo quien hizo la imposicion de insignia y lei el discurso… es decir, era bien pequegno…
en fin, luego llegue a la unica y gran Escuela de Injenieria, y note que habias estado ahi… pero nunca he podido pillarte…
en fin, solo un bello recuerdo… yo me titule de industrial en marzo y ahora ando de vacaciones en Europa…
un gran abrazo y felicitaciones nuevamente!